病毒後門(datmps.dll)手動解決方法

文件名稱：datmps.dll 文件大小：33,760 bytes AV命名：Trojan-Spy.Goldun!sd6 加殼方式：UPX 文件MD5：3F5A6FB14D49675A62293B83863A8186 病毒類型：後門
主要行爲：


1、釋放文件：


C:\Windows\System32\datmps.dll 21,984 byte


C:\Windows\System32\wlite.sys 8,816 bytes


2、添加啓動項：


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps]

DllName = 64 61 74 6D 70 73 2E 64 6C 6C 00 00 

Startup = "datmps" 

Impersonate = 0x00000001 

Asynchronous = 0x00000001 

MaxWait = 0x00000001 

NGIX = "[1062522C5803A23AD]"


64 61 74 6D 70 73 2E 64 6C 6C 00 00 解密得：datmps.dll


3、註冊驅動：


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wlite\Security]

Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 

00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 

FF 01 0F 0 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wlite]

Type = 0x00000001 

Start = 0x00000001 

ErrorControl = 0x00000000 

ImagePath = "system32\wlite.sys" 

DisplayName = "WMV9 Codec"


4、添加註冊表，保證安全模式依然加載：


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wlite.sys]

(Default) = "Driver" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wlite.sys]

(Default) = "Driver"


5、調用IE傀儡進程，後臺連接外部：rushprot***.net


解決方法：


1、下載PowerRmv，後斷開網絡連接：

如下：

2、依次刪除C:\Windows\System32\datmps.dll和wlite.sys。

3、刪除啓動項(開始菜單－運行－輸入“regedit”進入註冊表依次找到說明選項並按提示操作)：


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps]