欢迎来到天天文库
浏览记录
ID:22531737
大小:66.00 KB
页数:7页
时间:2018-10-30
《qjineui.exe,huatatq.exe,ncltkyp.exe清除》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、qjineui.exe,huatatq.exe,ncltkyp.exe清除~教育资源库 清除方案: 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1)使用安天木马防线进程管理关闭病毒进程 (2)恢复注册表,显示隐藏的系统文件 [HKEY_CURRENT_USERSofteDrive%autorun.inf %HomeDrive%ncltkyp.exe %DriveLetter%autorun.inf %DriveLetter%ncltkyp.exe
2、 %ProgramFiles%monFiles MicrosoftSharedhuatatq.exe %ProgramFiles%monFiles MicrosoftSharedkljimyq.inf %ProgramFiles%monFiles Systemkljimyq.inf %ProgramFiles%monFiles Systemqjineui.exe %ProgramFiles%meex.exe (4)删除病毒添加的注册表项: [HKEY_LOCA
3、L_MACHINESOFTicrosoft ACHINESOFTicrosoft icrosoftSharedhuatatq.exe HKEY_LOCAL_MACHINESOFTicrosoft icrosoftSharedhuatatq.exe (5)恢复病毒修改的注册表项目: [HKEY_LOCAL_MACHINESYSTEM ControlSet001Serviceshelpsvc] 新建键值:DACHINESYSTEM ControlSet001ServicesShar
4、edAccess] 新建键值:DACHINESYSTEM ControlSet001ServicesACHINESYSTEM ControlSet001ServicesACHINESOFTicrosoft WindowsC1234下一页友情提醒:,特别!urrentVersionpoliciesExplorer] 新建键值:DACHINESYSTEMControlSet001 ControlSafeBootMinimal {4D36E967-E325-11CE-BFC1-08002BE1
5、0318}] 注册表值: 类型:REG_SZ 字符串:DiskDrive [HKEY_LOCAL_MACHINESYSTEMControlSet001 ControlSafeBootNetFiles%目录和部分附属 目录下复制自身并衍生病毒文件;修改注册表,添加启动项,对大量反病 毒工具和软件映像劫持,隐藏受保护的系统文件,并删除文件夹选项中的 是否隐藏受保护文件的修改项;禁用系统防火墙服务、自动更新服务、入 侵保护服务、帮助服务;删除注册表中安全模式启动需要加载的驱动文件, 使用户无法进
6、入安全模式;开启自动播放功能,感染连接到中毒机器的移 动磁盘,该病毒主要通过移动磁盘进行传播。 行为分析: 本地行为: 1、文件运行后会释放以下文件: %HomeDrive%autorun.inf %HomeDrive%ncltkyp.exe %DriveLetter%autorun.inf %DriveLetter%ncltkyp.exe %ProgramFiles%monFilesMicrosoftSharedhuatatq.exe %ProgramFiles%monFilesMicrosoftShare
7、dkljimyq.inf %ProgramFiles%monFilesSystemkljimyq.inf %ProgramFiles%monFilesSystemqjineui.exe %ProgramFiles%meex.exe 2、新增注册表: [HKEY_LOCAL_MACHINESOFTicrosoft ACHINESOFTicrosoft icrosoftSharedhuatatq.exe 描述:启动项,使病毒文件在当该系统的所有用户登陆 该系统时,运行病毒文件。 3、新建注册表,添加映像劫持项:
8、 HKEY_LOCAL_MACHINESOFTicrosoft icrosoftSharedhuatatq.exe 描述:映像劫持项,当系统执行被映像劫持的文件名称时, 将不执行该文件,而是执行映像文件。 被映像劫持的文件名称列表如下: 360rpt.
此文档下载收益归作者所有
