Downloader(网络病毒)
温馨提示:这篇文章已超过479天没有更新,请注意相关的内容是否还可用!
Downloader
网络病毒
Downloader.Admincash是一个特洛伊木马程序,它感染Windows系统中安全设置较低的Explorer.exe,同时下载Adware和拨号器。病毒运行后,会复制自身到每个盘的根目录,文件名为“command.com”,然后修改“autorun.inf”文件,这样会大大增加病毒的运行机会。
中文名 | Downloader |
适用领域 | 计算机 |
类型 | 特洛伊木马程序 |
中毒症状 | 创建如下互斥实例 |
运行系统 | Windows |
病毒简介
【病毒名称】Downloader
【病毒类型】绑架你的浏览器
中毒特征
【中毒症状】
当Downloader.Admincash运行时,它执行以下操作:
创建如下互斥实例,以确保同时只有一个木马运行:
BeavisMutex
ButtheadMutex
将自身拷贝为%System%soft.exe和%System%[随机生成文件名].exe
提示:%System%是系统目录变量,默认情况下它是C:WindowsSystem(Windows 95/98/Me),C:WinntSystem32(Windows NT/2000),或C:WindowsSystem32(Windows XP).
创建如下注册表项:
HKEY_CURRENT_USERSoftwareMicrosoftActive SetupInstalled Components
HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled Components
将下述键值:
"Web Service"="%System%[random file name].exe"
添加到如下注册表项:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionun
添加注册表键值
"run"="%System%soft.exe"
到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionWindows
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT
CurrentVersionWindows
添加注册表键值:
"DisableSR"="0x00000001"
到:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT
CurrentVersionSystemRestore
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionSystemRestore
添加键值:
"EnableFirewall"="0x00000001"
到注册表项:
HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft
WindowsFirewallDomainProfile
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft
WindowsFirewallDomainProfile
HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft
WindowsFirewallStandardProfile
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft
WindowsFirewallStandardProfile
以用于禁用Windows的WindowsFirewall。
添加键值:
"NoAutoUpdate"="0x00000001"
"AUOptions"="0x00000001"
到注册表项:
HKEY_CURRENT_USERSoftwarePoliciesMicrosoft
WindowsWindowsUpdateAU
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft
WindowsWindowsUpdateAU
以禁用Windows的自动更新。
添加注册表键值:
"FirewallDisableNotify"="0x00000001"
"UpdatesDisableNotify"="0x00000001"
"AntiVirusDisableNotify"="0x00000001"
到注册表项:
HKEY_CURRENT_USERSOFTWAREMicrosoft
Security Center
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
Security Center
将安全中心的三项设置均设为禁用
创建如下文件:
%Windir%explorer.new
%Windir%wininit.ini
提示:%Windir%表示Windows安装目录,默认情况下是C:Windows 或 C:Winnt.
感染%Windir%explorer.exe文件。
病毒解决办法
操作步骤如下:
1.当打开网页的时候symantec会弹出对话框,病毒名为"downloader"。
2.双际病毒名,弹出对话框对话框内有病毒地址:C:Documents and Settings imeLocal SettingsTemporary Internet FilesContent.IE5
3.进入该目录,删除目录中所有文件,如果这个电脑没有中病毒,所有文件都可以删除掉,当中病毒后有几个文件无法删除.无法删除的文件就是所要找的病毒。
4.下载此软件名为"Unlocker.rar"
5.删除后打开网页。该文件夹内会自动生成7-8个文件,再次删除所有文件.如果没有提示不可删除文件提示窗口,这样就成功一半了。
6.以上只是第一步,第二步,使用360卫士等清理工具,进行注册表的修复,因downloader病毒会自动修改注册表内的信息.所以要进行修复。
7.再次打开网页,进行重复刷新.没有出现symantec窗口,证明彻底删除了病毒。
参考资料
1.什么是downloader病毒·Pc6资讯