警惕木馬Dropper病毒鏈接非法網(wǎng)站

    Trojan-Dropper.Win32.Agent該病毒運(yùn)行后，衍生病毒文件到系統(tǒng)目錄下。添加注冊(cè)表啟動(dòng)項(xiàng)，以達(dá)到開機(jī)加載病毒體的目的。連接某網(wǎng)址:update.*****.cn(***.208.170.72) ，jump.*****.cn:80(***.241.97.33)。下載病毒文件到本機(jī)運(yùn)行，添加系統(tǒng)服務(wù)項(xiàng)，插入IE的BHO對(duì)象。并衍生文件到%System32\Drivers%目錄下，造成卸載困難。

　　清除方案:

　　1、建議使用安天木馬防線可徹底清除此病毒(推薦)

　　2、手工清除請(qǐng)按照行為分析刪除對(duì)應(yīng)文件，恢復(fù)相關(guān)系統(tǒng)設(shè)置。

　　(1) 使用安天木馬防線“進(jìn)程管理”關(guān)閉病毒進(jìn)程

　　cdnup.exe

　　(2) 刪除病毒衍生文件

　　%Program Files%\CNNIC\

　　%WINDOWS\system32%\cdndisp.tmp

　　%WINDOWS\system32%\cdnns.dll

　　%WINDOWS\system32%\cdnprot.dat

　　%WINDOWS\system32\drivers%\cdnprot.sys

　　%Documents and Settings\用戶名\Local Settings\Temp\%1C\

　　(3) 恢復(fù)病毒修改的注冊(cè)表項(xiàng)目，刪除病毒添加的注冊(cè)表項(xiàng)

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CdnCtr 鍵值: 字符串:"%ProgramFiles%\CNNIC\Cdn\cdnup.exe"

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 鍵值: 字符串: “%programfiles%\cnnic\cdn\cdnforie.dll”

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdnprot\DescriptionName 鍵值: 字符串: "cdnprot"

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdnprot\ImagePath 鍵值: 類型: REG_EXPAND_SZ 長度: 29 (0x1d) 字節(jié) system32\drivers\cdnprot.sys.