词条 | wddoor0.dll |
释义 | 基本信息进程文件:wddoor0.dll 文件版本:未知N/A 文件大小:8832 字节 所在系统:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003 所在位置:C:\\WINDOWS\\system32 MD5校验码:80C4562E8F7415225CE8433595C9BD89 进程名称:Trojan-Downloader.Win32.Agent.ccc; Trojan.PSW.OnlineGames.bhv; Win32.Troj.OnlineGames.c.61328 描 述:wddoor0.dll是Trojan-Downloader.Win32.Agent.ccc木马相关程序。 出 品 者:未知N/A 属 于:未知N/A 系统进程:否 后台程序:是 使用网络:是 硬件相关:否 常见错误:未知N/A 内存使用:未知N/A 风险等级(0-5):4 间谍软件:否 广告软件:否 病毒文件:否 木马文件:是 技术分析变种: 【CISRT2007134】木马 mhdoor0.dll 解决方案 【CISRT2007136】木马 wodoor0.dll 解决方案 【CISRT2007137】木马 ztdoor0.dll 解决方案 【CISRT2007138】木马 jtdoor0.dll 解决方案 【CISRT2007143】木马 wldoor0.dll wgdoor0.dll wmdoor0.dll fydoor0.dll 解决方案 网游木马,运行后释放dll到系统目录并注入进程: %System%\\wddoor0.dll 创建ShellExecuteHooks启动项: 复制内容到剪贴板 代码: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks] "{68F7767A-090C-4BBF-A015-720ACC6706E2}"="hook wd" [HKEY_CLASSES_ROOT\\CLSID\\{68F7767A-090C-4BBF-A015-720ACC6706E2}\\InprocServer32] @="%System%\\wddoor0.dll" 木马不断重写释放出的dll文件和启动项。 设置注册表信息: 复制内容到剪贴板 代码: [HKEY_CLASSES_ROOT\\CLSID\\{68F7767A-4BBF-A015-090C-720ACC6706E2}] "daExeModuleName"="{原文件}" "daDllModuleName"="%System%\\wddoor0.dll" "daSobjEventName"="YUTDFGHKHCOOLWD_0" 清除步骤1. 退出已打开的应用程序,关闭打开的窗口,结束Explorer.exe进程2. 删除(或重命名/移动)木马文件:%System%\\wddoor0.dll3. 运行Explorer.exe进程4. 删除木马创建的ShellExecuteHooks启动项和相关信息:复制内容到剪贴板代码:[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]"{68F7767A-090C-4BBF-A015-720ACC6706E2}"[HKEY_CLASSES_ROOT\\CLSID\\{68F7767A-090C-4BBF-A015-720ACC6706E2}][HKEY_CLASSES_ROOT\\CLSID\\{68F7767A-4BBF-A015-090C-720ACC6706E2}]5. 如果第2步中没有删除木马文件,重启计算机后再删除重命名或移动过的木马文件:%System%\\wddoor0.dll |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。