连接的IRC信道:darkjester.xplosionirc.net
IP地址:89.159.185.142
标准IRC控制命令:
NICK [%s][%iH]%sn
USER %sn
JOIN %sn
PING :
PONG :%sn
404JOIN %sn
KICK
PRIVMSGNOTICE
NOTICE
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%当前用户Local SettingsTemp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:WinntSystem32;
Windows95/98/Me中默认的安装路径是 C:WindowsSystem;
WindowsXP中默认的安装路径是 C:WindowsSystem32.
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址:www.antiy.comhttp://www.antiy.com/download/index.htm
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
(2) 强行删除病毒文件
%WINDIR%photo album.zip
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
键值:字串:"rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
HKEY_CLASSES_ROOTCLSID{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}InProcServer32
键值:字串:"@"="rdshost.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。
