病毒后门(datmps.dll)手动解决方法
主要行为:
1、释放文件:
C:\Windows\System32\datmps.dll 21,984 byte
C:\Windows\System32\wlite.sys 8,816 bytes
2、添加启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps]
DllName = 64 61 74 6D 70 73 2E 64 6C 6C 00 00
Startup = "datmps"
Impersonate = 0x00000001
Asynchronous = 0x00000001
MaxWait = 0x00000001
NGIX = "[1062522C5803A23AD]"
64 61 74 6D 70 73 2E 64 6C 6C 00 00 解密得:datmps.dll
3、注册驱动:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wlite\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01
00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00
FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wlite]
Type = 0x00000001
Start = 0x00000001
ErrorControl = 0x00000000
ImagePath = "system32\wlite.sys"
DisplayName = "WMV9 Codec"
4、添加注册表,保证安全模式依然加载:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wlite.sys]
(Default) = "Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wlite.sys]
(Default) = "Driver"
5、调用IE傀儡进程,后台连接外部:rushprot***.net
解决方法:
1、下载PowerRmv,后断开网络连接:
如下:
2、依次删除C:\Windows\System32\datmps.dll和wlite.sys。
3、删除启动项(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps]
相关推荐
-
病毒后门(datmps.dll)手动解决方法
主要行为: 1.释放文件: C:\Windows\System32\datmps.dll 21,984 byte C:\Windows\System32\wlite.sys 8,816 bytes 2.添加启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps] DllName = 64 61 74 6D 70 73 2E 64 6C 6C 00 00 Startup
-
EXPLORER.EXE病毒手动解决方法
行为: 1.释放文件: C:\WINDOWS\system\SERVICES.EXE 65536 字节 C:\WINDOWS\system\SYSANALYSIS.EXE 65536 字节 C:\WINDOWS\system\explorer.exe 976896 字节 2.删除备份文件: C:\WINDOWS\system32\dllcache\explorer.exe 3.覆盖系统文件:C:\WINDOWS\explorer.exe 系统启动时先执行病毒体,再执行C:\WINDOWS\s
-
“禽兽”病毒(杀软终结者)的分析和手动解决方法图文第1/2页
最近有很多人中了这个"禽兽"病毒,之所以叫做"禽兽"病毒是因为病毒运行后,文件夹选项中隐藏文件的文字内容被修改成了"禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽." 这个病毒其实就是原先分析的niu.exe的变种,不过此次变种变化巨大 增加了很多新的"功能",中毒者在禽兽病毒和其他一些木马的"帮助"下 系统将完全处于无保护的状态.在没有任何工具的情况下 救活系统的可能性几乎为0 此病毒的几大罪状如下
-
提示缺少“S2CSplash.DLL"的解决方法,下载此文件放到才程序目录即可
--------------------------- MoleBox launcher fatal error --------------------------- The dynamic link library 'S2CSplash.DLL' could not be found --------------------------- 确定 --------------------------- 本地下载
-
主页被改为ww.94ak.com的手动解决方法参考
使用费尔木马强力清除助手(可到down.45it.com下载)删除以下文件: c:\program files\internet explorer\iexplore32.sys c:\program files\internet explorer\plugins\wn_sys8x.sys c:\windows\downloaded program files\ichatx.dll 2.删除后,使用SREng(可到down.45it.com下载)修复下面各项: 系统修复-- 浏览器加载项之如下项删
-
sxs.exe病毒删除完美解决方法
方法一: 可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有SES.EXE文件 如果是的话 那么中的是修改过的ROSE病毒解决方法是这样的:在安全模式下进行手动杀毒,另外,我在注册表里,手动搜索与病毒有关的文件:sxs.exe.svohost.autorun.inf,找到后全删,把每个盘符的都删掉,然后顺安全模式下运行杀毒软件,就OK了 . 手工处理如下:任务管理器可以结束SXS的进程删除,记住,用鼠标右键进入硬盘 同时按下Ctrl+Shift+Esc三个键 打开wind
-
关于winasse.exe生成Win59.exe等病毒的解决方法
卡巴已经提示了一早上,一开始卡巴还有"删除"的项目,到后来就只有"恢复"和"跳过"了,这个病毒,从win3.exe一直在变,只要你按跳过,20秒不到就弹出下一个组合.晕倒了啊...有图片,这个是什么病毒怎么查杀?网上查了也没有一个解决方法.高手帮忙.谢 复制代码 代码如下: HijackThis_zww汉化版扫描日志 V1.99.1 保存于 11:01:38, 日期 2006-9-12 操作系统: Windows XP SP2 (WinNT
-
威金变种 rundl132.exe RichDll.dll,f1.exe,f2.exe,f3.exe,f4,exe,f5.exe,f11.exe解决方法
威金变种 rundl132.exe RichDll.dll解决方法 该变种暂时还没被江民和卡巴查杀,并用了几个专杀就找到一个可查杀修复EXE文件! 病毒运行后,访问网络下载多个木马程序(f1.exe,f2.exe,f3.exe,f4.exe,f5.exe,f6.exe,f7.exe,f8.exe,f9.exe,f10.exe,f11.exe)并运行!生成以下病毒文件(感觉现在的病毒真是变态): C:\Documents and Settings\你的用户名\Local Settings\Temp
-
asp.net无法加载oci.dll等错误的解决方法
解决方法一 修复方法: 1:找到oracle客户端的安装目录,例如:E:/oracle/ora92,选中目录,在"属性--安全"里面删掉"ASP .NET.Users用户"然后再添加进去,并赋予"完全控制或者修改权限":将everyone赋予"完全控制或者修改权限",注意:网站的目录权限也要设置为ervryone完全访问,不然oracle好了,网站同样访问不了.重新启动.2:最简单直接的方法是启用ASP .Net用户模拟,在w
-
解决采集时出现msxml3.dll 错误的方法
采集时出现: msxml3.dll 错误 '800c0005' 系统未找到指定的资源. /Admin/Item/Admin_ItemFunction.asp,行166 我查了资料: 在运用xmlhttp组件编写程序中,会碰到 "msxml3.dll 错误 '800c0005' 系统未找到指定的资源." 这种错误,网上对这种错误的产生原因有很多钟解释,大体说是因为防火墙或UDP站口权限造成了,也说了相应的解决办法.其它有时候也未必.其实错误的描述中就说出了主要的原因 "系统未找