江民對該病毒的定義名為：trojanspy.agent.rw

      釋放文件
      %system%\drivers\svchost.exe
      %system%\drivers\msnet.sys
      %system%\jet300.dll

      添加注冊表信息
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
      msnet %system%\drivers\msnet.sys
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
      svchost %system%\drivers\svchost.exe

      主要特征
      jet300.dll插入到系統(tǒng)進程svchost.exe
      創(chuàng)建了服務(wù)svchost
      創(chuàng)建了驅(qū)動msnet
      可能下載并安裝其他病毒木馬

      解決辦法：
      1、為避免將系統(tǒng)正常進程svchost.exe誤終止，建議先停止并刪除服務(wù)
      2、刪除其添加的所有注冊表信息（服務(wù)和驅(qū)動信息）
      3、重新啟動后，刪除其釋放的所有病毒文件
      4、對于刪除不動的，可以采用Unlocker來進行

最新評論