该病毒属木马类,病毒运行后衍生病毒文件%system32%\kb8964225.log,修改注册表,开启Network Logon服务,使病毒作者可以对用户进行远程控制,衍生的病毒文件kb8964225.log可以盗取用户的敏感信息。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%system32%\kb8964225.log
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
键值: 字串: "NetWorkLogon "="支持网络上计算机远程登陆事件。如果此服务被停用,网络登陆将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
键值: 字串: "DisplayName "="Network Logon"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
键值: 字串: " ImagePath "="undll32.exe KB8964225.log,start"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
键值: 字串: " ObjectName " ="LocalSystem"
相关参考链接:http://www.antiy.com/security/report/20061009.htm
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%system32%\kb8964225.log
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
键值: 字串: "NetWorkLogon "="支持网络上计算机远程登陆事件。如果此服务被停用,网络登陆将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
键值: 字串: "DisplayName "="Network Logon"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
键值: 字串: " ImagePath "="undll32.exe KB8964225.log,start"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
键值: 字串: " ObjectName " ="LocalSystem"
相关参考链接:http://www.antiy.com/security/report/20061009.htm
