Backdoor.Win32.Rbot.bms清除方案
发布网友
发布时间:2024-10-04 08:54
共1个回答
热心网友
时间:2024-10-05 07:54
要清除Backdoor.Win32.Rbot.bms病毒,以下是详细的清除步骤:
1. 使用推荐的安全软件,如安天木马防线进行处理。首先,通过其“进程管理”功能关闭病毒进程,确保病毒活动被抑制。
2. 手动删除病毒文件,这些文件通常位于:
%WINDOWS%\wkssr.exe
%WINDOWS%\kb914389.log
3. 鉴于病毒可能修改了注册表,需要恢复受影响的项目并移除病毒添加的项。以下是需要检查和修改的注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - 删除键值 "Microsoft dll Host Service",原值为 "wkssr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices - 删除键值 "Microsoft dll Host Service",原值为 "wkssr.exe"
其他相关键值,如HKEY_CURRENT_USER\... 和 HKEY_LOCAL_MACHINE\...\Ole\ 需要分别检查并处理
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\ 中,将 "EnableRemoteConnect" 值改为 "N",原值为 "Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\ 中,将 "TransportBindName" 删除,原值为 "\Device\"
完成上述操作后,务必重启计算机以使更改生效。确保在整个过程中保持谨慎,以防误删重要系统设置。若不确定操作,建议在安全模式下进行。
扩展资料
该病毒属后门类,病毒运行后衍生病毒文件到系统目录%WINDIR%,并在系统根目录和临时文件夹temp下分别建立a.bat和1.reg文件,在自动运行后删除自身,修改注册表,添加启动项,以达到随机启动的目的,终止DOCM格式的文件打开,该病毒可远程控制用户机器,进行修改、删除文件,传送等操作。
