Trojan-Dropper.Win32.Agent该病毒运行后,衍生病毒文件到系统目录下。添加注册表启动项,以达到开机加载病毒体的目的。连接某网址:update.*****.cn(***.208.170.72) ,jump.*****.cn:80(***.241.97.33)。下载病毒文件到本机运行,添加系统服务项,插入IE的BHO对象。并衍生文件到%System32\Drivers%目录下,造成卸载困难。
清除方案:
1、使用木马清除工具,如安天木马防线等可清除此病毒。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用可以关闭进程的软件关闭病毒进程cdnup.exe
(2) 删除病毒衍生文件
%Program Files%\CNNIC\
%WINDOWS\system32%\cdndisp.tmp
%WINDOWS\system32%\cdnns.dll
%WINDOWS\system32%\cdnprot.dat
%WINDOWS\system32\drivers%\cdnprot.sys
%Documents and Settings\用户名\Local Settings\Temp\%1C\
|
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\CdnCtr键值: 字符串:"%ProgramFiles%
\CNNIC\Cdn\cdnup.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects键值: 字符串: “%
programfiles%\cnnic\cdn\cdnforie.dll”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\cdnprot\DescriptionName键值: 字符串: "cdnprot"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\cdnprot\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节system32\drivers\cdnprot.sys.
|
