文件名稱:datmps.dll
文件大小:33,760 bytes
AV命名:Trojan-Spy.Goldun!sd6
加殼方式:UPX
文件MD5:3F5A6FB14D49675A62293B83863A8186
病毒類型:後門
主要行爲:
1、釋放文件:
C:\Windows\System32\datmps.dll 21,984 byte
C:\Windows\System32\wlite.sys 8,816 bytes
2、添加啓動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps]
DllName = 64 61 74 6D 70 73 2E 64 6C 6C 00 00
Startup = "datmps"
Impersonate = 0x00000001
Asynchronous = 0x00000001
MaxWait = 0x00000001
NGIX = "[1062522C5803A23AD]"
64 61 74 6D 70 73 2E 64 6C 6C 00 00 解密得:datmps.dll
3、註冊驅動:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wlite\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01
00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00
FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wlite]
Type = 0x00000001
Start = 0x00000001
ErrorControl = 0x00000000
ImagePath = "system32\wlite.sys"
DisplayName = "WMV9 Codec"
4、添加註冊表,保證安全模式依然加載:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wlite.sys]
(Default) = "Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wlite.sys]
(Default) = "Driver"
5、調用IE傀儡進程,後臺連接外部:rushprot***.net
解決方法:
1、下載PowerRmv,後斷開網絡連接:
如下:
2、依次刪除C:\Windows\System32\datmps.dll和wlite.sys。
3、刪除啓動項(開始菜單-運行-輸入“regedit”進入註冊表依次找到說明選項並按提示操作):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps]
病毒後門(datmps.dll)手動解決方法
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
殺毒軟件被病毒關掉的解決辦法
sally
2019-07-16 14:19:53
QQ空間自動發廣告說說?可能是激活工具附帶的獨狼Rootkit!
hfhbutn
2019-01-25 23:26:10
Rootkit病毒的解決辦法
forbide
2018-11-21 01:39:44
木馬下載器前仆後繼,AOTU病毒羣捲土重來(專殺4月15日升級到1.4版)
神馬文庫
2018-10-25 22:03:15
diskregerl.exe(Trojan.Agent.cdt)病毒手動查殺
神馬文庫
2018-10-25 22:03:03
巧用微軟EWF來保護系統
神馬文庫
2018-10-25 21:59:25
美女遊戲病毒iwbkvd.exe查殺方法
神馬文庫
2018-10-25 21:59:11
提權思路之MSSQL差異備份取系統權限
神馬文庫
2018-10-25 21:59:08
U盤病毒vistaAA.exe的手動查殺方法
神馬文庫
2018-10-25 21:58:20
1sass.exe,winnet.sys,2pwsdor.sys,k87wovjoq.sys病毒清除
神馬文庫
2018-10-25 21:57:54
關於諾頓頻繁查殺DWH*.TMP病毒的問題分析
神馬文庫
2018-10-25 21:57:54
與流氓的較量 清除autorun.inf第1/2頁
神馬文庫
2018-10-25 21:57:03
Service0.exe分析及清除方法提供
神馬文庫
2018-10-25 21:56:04
Kvmon.exe遠程控制病毒清除指南
神馬文庫
2018-10-25 21:54:01