病毒标签：

病毒名称【chēng】🌧： Backdoor.Win32.VB.qm

病毒类型： 后门

文件【wén jiàn】💝 MD5： 72EA975BA1113594DAD3A1C8AECC72CB

公开范围： 完全公开

危害等级： 中等

文件长度：262,144 字节

感染系统： Windows98以上版本

开发工【kāi fā gōng】🏼具： Microsoft Visual Basic 5.0 / 6.0

加壳类型： 无

命名对照： Symentec[无]

Mcafee[Generic BackDoor.b]

病毒描述：

该病毒【gāi bìng dú】属于木马类。病毒运【bìng dú yùn】行后复制原病毒副本【dú fù běn】🥍到【dào】🛒%System32%下🍄，并删除【bìng shān chú】原病毒副本【dú fù běn】🥍，修改注🍗册表🦅，达到【dá dào】🛒开机自启的【de】目的【de】。在注册【zài zhù cè】表🦅和%System32%"下新健⚫和释放四个文⛳件:"%System32%","svchost32.exe","mswinsck.ocx","regsvr32.dll","svcloader.exe"

清除方案：

1、使用安天木马【tiān mù mǎ】防线可【fáng xiàn kě】彻底清⛏除此病🚺毒【dú】💗(推荐)。

2、手工清除请按【chú qǐng àn】照行为分析删除对应文件【wén jiàn】🤧，恢复相🌜关系统【guān xì tǒng】🚇设置。

(1) 使用安【shǐ yòng ān】天木马防线🚡“进程管🍄理【lǐ】”关闭病【guān bì bìng】毒进程🤞

(2) 删除病毒文件

%WINNT%System32svchost32.exe

%WINNT%System32mswinsck.ocx

%WINNT%System32regsvr32.dll

%WINNT%System32svcloader.exe

(3) 恢复病📄毒修改【dú xiū gǎi】的注册【de zhù cè】表项👙目，删除病毒添加【dú tiān jiā】🚗的注册【de zhù cè】表项👙

HKEY_LOCAL_MACHINESOFTWAREClassesexefile

shellopencommand@

键值【jiàn zhí】: 字串🎶: "svcloader.exe "%1" %*"

改为: 键值【jiàn zhí】🚕: 字串: ""%1" %*"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICache

键值: 字串【zì chuàn】✒: "svchost32"=%Windows%System32svchost.exe

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}InprocServer32@

键值🌵: 字串【zì chuàn】: "MSWINSCK"= %WINDOWS%System32MSWINSCK.OCX

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{248DD897-BB45-11CF-9ABC-0080C7E7B78D}InprocServer32@

键值【jiàn zhí】🍹: 字串: "MSWINSCK" =%WINDOWS%System32MSWINSCK.OCX

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib

{248DD890-BB45-11CF-9ABC-0080C7E7B78D}1.0win32@

键值🔨: 字串【zì chuàn】: "MSWINSCK"= %WINDOWS%System32MSWINSCK.OCX