Backdoor.Win32.VB.qm病毒专杀方法

病毒标签：

病毒名称： Backdoor.Win32.VB.qm

病毒类型： 后门

文件 MD5： 72EA975BA1113594DAD3A1C8AECC72CB

公开范围： 完全公开

危害等级： 中等

文件长度：262,144 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳类型： 无

命名对照： Symentec[无]

Mcafee[Generic BackDoor.b]

病毒描述：

该病毒属于木马类。病毒运行后复制原病毒副本到%System32%下，并删除原病毒副本，修改注册表，达到开机自启的目的。在注册表和%System32%"下新健和释放四个文件:"%System32%","svchost32.exe","mswinsck.ocx","regsvr32.dll","svcloader.exe"

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%WINNT%System32svchost32.exe

%WINNT%System32mswinsck.ocx

%WINNT%System32regsvr32.dll

%WINNT%System32svcloader.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINESOFTWAREClassesexefile

shellopencommand@

键值: 字串: "svcloader.exe "%1" %*"

改为: 键值: 字串: ""%1" %*"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICache

键值: 字串: "svchost32"=%Windows%System32svchost.exe

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}InprocServer32@

键值: 字串: "MSWINSCK"= %WINDOWS%System32MSWINSCK.OCX

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{248DD897-BB45-11CF-9ABC-0080C7E7B78D}InprocServer32@

键值: 字串: "MSWINSCK" =%WINDOWS%System32MSWINSCK.OCX

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib

{248DD890-BB45-11CF-9ABC-0080C7E7B78D}1.0win32@

键值: 字串: "MSWINSCK"= %WINDOWS%System32MSWINSCK.OCX