基于注册表的poweliks病毒

Posted on

病毒现象

主机有访问C&C服务器域名,但是主机上无恶意文件,并且存在异常的dllhost.exe进程。

病毒处置

  1. 结束进程dllhost.exe
  2. 使用PCHunter删除注册表相应的恶意键值,即删除默认键对应的值。(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\默认)

病毒详情

https://www.freebuf.com/articles/network/169296.html