陶瓷企业！请检查贵司网站是否被利用投放病毒

生成的C:\windows\system32\NavCOM01.dll把自己注入到每一个exe，

并把自己添加到

HKCR\CLSID\{867623F2-B60C-49c4-A50D-FCA697B0CC04}\InprocServer32

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

注册表值： {867623F2-B60C-49c4-A50D-FCA697B0CC04}

实现自我启动

到最后就把释放到system32的其它dll努力注入到每一个exe

C:\WINDOWS\system32\MsIMMs32.dll

C:\WINDOWS\system32\msccrt.dll

C:\WINDOWS\system32\upxdnd.dll

C:\WINDOWS\system32\cmdbcs.dll

C:\WINDOWS\system32\MsPrint32D.dll

C:\WINDOWS\system32\NVDispDrv.dll

C:\WINDOWS\system32\DbgHlp32.dll

C:\WINDOWS\system32\mppds.dll

C:\WINDOWS\system32\AVPSrv.dll

C:\WINDOWS\system32\Kvsc3.dll

当下载到system32的exe如k11941490576.exe干完自己的活后就删除自己，不留痕迹！

至此，木马群蹂躏你的电脑的活动结束。

这是windows目录，system32目录和drivers目录如下所示

system32目录

windows目录

drivers目录

temp目录

那么这些木马到底向干什么呢？专门盗游戏密码，QQ密码，银行卡密码的，中了这个就没秘密了。

如果你开着卡巴拿更是对决，一边是卡巴在杀，一边是注入winlogon.exe的dll从网络重新下载。

清理助手一片红

解决办法：

1，

把下列内容复制到费尔木马强力清除助手中，选择第二项，

C:\WINDOWS\System32\AVPSrv.dll

C:\WINDOWS\System32\MsIMMs32.dll

本文分页： [ 1 ]  [ 2 ]  [ 3 ]  [ 4 ]   [ 5 ]  [ 6 ]  [ 7 ] 

【链接】 陶瓷企业 ,faenza ,

本文章内容仅供交流和参考，佛山陶瓷网[ www.FsTaoci.Com ]搜集整理行业相关公开资讯信息和知识，我们对文章内容真实、完整和公正性不能作任何的承诺和保证。谢谢支持。