感染型木马下载者 tem81.exe 6to4.dll

走路撞墙睡觉掉床

被感染的文件会释放tem81.exe 到临时目录并运行.

随后的一系列操作

释放6to4.dll到SYSTEM32目录

释放PCIDUMP.SYS,WMISVC.SYS,,asyncmac.sys到SYSTEM32\DRIVERS目录

释放6to4.dll,systembox.bak到SYSTEM32\DLLCACHE目录

添加服务PCIDump
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCIDump

添加服务WmiSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiSvc

添加服务6to4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4

其中6to4.dll是一个下载者,又会下载大量的木马.并会添加一些常见安全软件的注册表影响劫持项.防止安全软件运行.并进行局域网攻击传播.会删除Ghost备份文件.释放RAR文件进行感染后重新压缩.感染文件包括EXE,HTML等网页文件.创建盘符根目录下AUTORUN.INF.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

6to4.dll 下载文件多数存放IE临时目录执行后部分文件会自动删除.
C:\Documents and Settings\当前登录用户名\Local Settings\Temporary Internet Files\Content.IE5

部分文件存放在系统盘根目录,临时目录Temp
C:\
C:\Documents and Settings\当前登录用户名\Local Settings\Temp



修复工具已经更新，请下载下载巨盾感染文件修复大全



Virus.Downloader_6to4.exe感染文件恢复工具V1.1

使用方法:


1.先使用巨盾查杀干净内存中运行的恶意程序，重启后，再使用修复工具，清除系统中的感染文件（注：此修复工具无删木马功能）。
2.本专杀支持拖拽，可以将被感染的文件拖到专杀的窗口上即可自动清除感染部分。

更新历史：
V1.1 添加PE结构校验，修复导致程序异常崩溃的情形。
V1.2 修正因pe校验BUG，导致漏掉修复的问题

zhengrongsuiyue

版主看来是个强人啊！

ghosts3

为什么我用了 Virus.Downloader_6to4感染文件恢复工具V1.2.rar 之后还是不行啊。

几百兆的游戏EXE安装文件还是只有几十KB。。。

Sagittarius

3# ghosts3
楼上不行的原因有很多种。
最有可能的情况是木马的感染线程仍然在运行。您一边在修复。一边感染。
这是专杀工具的缺陷。最近在将专杀的功能加入到巨盾中去，需要一点时间，望理解。
如果有疑问可以加入巨盾官方群17361053，我帮您删除。
样本已经检查，由于病毒在感染安装包失败，导致安装程序被损坏，内容丢失无法通过此工具修复

softsing

杀木马用巨盾,用了都说好!