Backdoor.Win32.Sheldor.l后门病毒分析

　　4、连接远程控制端：

　　5、创建的服务信息：

　　6、创建的互斥体：

　　7、感染后的exploer.exe。首先加载病毒dll文件,而后JMP语句即跳到正常的入口点执行。

　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

　　%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量

　　%Windir%\ WINDODWS所在目录

　　%DriveLetter%\ 逻辑驱动器根目录

　　%ProgramFiles%\ 系统程序默认安装目录

　　%HomeDrive% = C:\ 当前启动的系统的所在分区\

　　%Documents and Settings%\ 当前用户文档根目录

　　清除方案：

　　1、使用安天木马防线可彻底清除此病毒(推荐)。

　　2、使用Atool：工具=》搜索DLL功能，输入SysIdt0.dll，查找到后卸载

　　3、删除下列文件：

　　4、点击“开始”=>“运行”=>输入“CMD”=>输入指令到下图状态

　　5、使用Atool结束Explorer.EXE进程

　　6、快速切换到第四步的窗口，按回车键，删除explorer.exe，命令成功执行郊果应该是不能显示桌面为准，否则重复第4到第6步。

　　7、在第四步的窗口中执行下列指令，重新启动后，病毒清除完毕。

　　ren explorer.exe.img explorer.exe

　　或者下列指令:

　　ren explorer.exe.idx explorer.exe

上一页  [1] [2] 

【责编:John】