Backdoor.Win32.FireFly.a如何清除

问：遇到了 Backdoor.Win32.FireFly.a，怎么才能手动清除，急

答：病毒描述：
　　该病毒属后门类，病毒图标为压缩文件zip图标，病毒文件使用UPX绑定一个jpg图片和病毒体qqq.exe。病毒运行后解压jpg图片和病毒体qqq.exe并自动运行病毒体qqq.exe，qqq.exe生成一个批处理器文件，删除本身及病毒体qqq.exe。病毒体qqq.exe运行后衍生病毒文件，修改注册表，新建服务FireFly，用以开机自启动病毒。该病毒可远程控制用户计算机，可执行上传、下载、删除文件、截取用户桌面等操作。
行为分析：
1、病毒运行后解压jpg图片和病毒体qqq.exe并自动运行病毒体qqq.exe，qqq.exe生成一个批处理器文件，删除本身及病毒体qqq.exe

2、病毒运行后在所在目录解压一个jpg图片和病毒体，并自动运行病毒体，衍生病毒文件到%Program Files%\FireFly：
%Program Files%\FireFly\WinDeBug.exe
%Program Files%\FireFly\FireFlyInfo.ini
3、修改注册表：
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\
值: 字符串: "C:\Program Files\FireFly\WinDeBug.exe"=inDeBug"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FIREFLY\0000\
值: 字符串: "Service"=FireFly"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FireFly\
值: 字符串: "ImagePath"="C:\Program Files\FireFly\WinDeBug.exe."
4、新建服务FireFly，用以开机自启动病毒：
服务名称：FireFly
启动类型：自动
可执行文件路径：C:\Program Files\FireFly\WinDeBug.exe
5、该病毒可远程控制用户计算机，可执行上传、下载、删除文件、截取用户桌面等操作。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

清除方案：
1、使用杀毒软件彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置
(1) 使用金山毒霸“进程管理”关闭病毒进程
(2) 删除病毒文件
%Program Files%\FireFly\WinDeBug.exe
%Program Files%\FireFly\FireFlyInfo.ini
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\
值: 字符串: "C:\Program Files\FireFly
\WinDeBug.exe"=inDeBug"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_FIREFLY\0000\
值: 字符串: "Service"=FireFly"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\FireFly\
值: 字符串: "ImagePath"="C:\Program Files tP
\FireFly\WinDeBug.exe."

入门	认识硬件	基础术语	上网入门	故障	电脑死机	系统变慢	不能上网	网络	局域网络	无线网络	网络技术
教程	电脑操作	软件学习	路由设置	技巧	Word	Excel	QQ技巧	安全	木马查杀	黑客防御	安全资讯
系统	安装系统	系统技巧	系统设置	下载	装机必备	办公软件	实用工具	选购	选购指南	组装DIY	电脑配置

本月热词：

搜索：

栏目分类

从零开始学电脑相关文章推荐

热门从零开始学电脑文章推荐

从零开始学电脑文章阅读排

◎ > 电脑入门 > 从零开始学电脑 > INTRODUCE

Backdoor.Win32.FireFly.a如何清除

谈谈您对该文章的看