瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】十万火急!求Backdoor.Bifrose.ch的清除方法!!

1   1  /  1  页   跳转

【求助】十万火急!求Backdoor.Bifrose.ch的清除方法!!

收藏
凌乱1984
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2006-02-22
  • 来自:
发表于: 2006-02-22 19:19 | 只看楼主 短消息 资料
字号: 1楼

【求助】十万火急!求Backdoor.Bifrose.ch的清除方法!!

安装瑞星杀毒2006下载版与防火墙时查杀出Backdoor.Bifrose.ch这个病毒,可重启后此病毒依然存在,求教解决方法!!急!谢!!
最后编辑2006-02-22 22:13:25
分享到:
gototop
 
子阳
头像
雄霸杖朝狮
  • 帖子:14755
  • 注册: 2004-04-13
  • 来自:
发表于: 2006-02-22 19:22 | 短消息 资料
字号: 2楼

检查是否有新的系统补丁需要打
                 
                  断网,

                  清空IE临时文件夹,

                  禁用系统还原,(Me,XP)

                  用最新版本瑞星杀毒.必要时在安全模式或DOS下全面查杀.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-22 19:34 | 短消息 资料
字号: 3楼

【回复“凌乱1984”的帖子】
后门Bifrose.ch变种感染系统记录(XP系统):

1、在C:\windows\system32\下创建两个病毒文件:iexplorer.exe和plugin1.dat
2、注册表修改:
(1)在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run分支下添加键值"iexplorer"="C:\\windows\\system32\\iexplorer.exe"
(2)在HKEY_CURRENT_USER\Software\Wget分支添加"klg"=hex:01
(3)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\下添加{9B71D88C-C598-4935-C5D1-43AA4DB90836}项,键值为"stubpath"=c:\windows\system32\iexplorer.exe s
(4)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支添加键值"iexplorer"="C:\\windows\\system32\\iexplorer.exe"
(5)在HKEY_LOCAL_MACHINE\SOFTWARE\Wget分支添加"nck"=hex:73,d9,e4,d8,57,32,2d,60,b4,3c,2a,5e,33,34,72,00,a3,78,26,35,57,\
32,2d,60,b4,3c,2a,5e,33,34,72,00

Bifrose变种的查杀毒方法:

结束木马进程iexplorer.exe。删除C:\windows\system32\下的iexplorer.exe和plugin1.dat。删除木马添加的注册表键值。
gototop
 
凌乱1984
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2006-02-22
  • 来自:
发表于: 2006-02-22 22:13 | 只看楼主 短消息 资料
字号: 4楼

感谢2位的帮助,问题已经解决.
plugin1.dat找到了但没找到iexplorer.exe,它改名了,而且是2个,CTFMON.exe和server.exe
在HKEY_LOCAL_MACHINE\SOFTWARE\Wget下的显示是server.exe,我没删错吧?
经过2小时游戏测试感觉是不卡了,再次感谢
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT