阅微草人的测试工作,伴随着初入社会的无奈艰辛彷徨,但是这些都会过去的,已经找到了自己的方向,正在努力中。学习像路飞那样的勇敢、自信、无畏、前进,真诚的伙伴。
[转载]AV终结者(随机八位数,映像劫持,破坏安全模式)病毒解决方案
上一篇 /
下一篇 2007-09-20 16:00:12
/ 个人分类:工作相关
这个病毒已经光顾我2次了,第一次是家里的电脑,最后被我全部格式化了硬盘。这一次是公司的电脑。借助金山的“AV终结者木马专杀”和“超级巡警”的查杀,终于搞定它了,偶尔看到这个帖子,发上来记录一下。51Testing软件测试网2B;a
K^ w-X6sG
&RS;V%\Q.M5a0 'qH#jsHn `0 /h{jOa+P7u0
最近,一种病毒变种(以随机八位字符为文件名)疯狂传播。由于病毒制造者会经常更新病毒文件,使病毒变种狂增,一方面使很多用户深受其害,更一方面使得专杀效果不是很好,所以还是建议进行手工查杀。 |
| 一、病毒相关分析: |
| 病毒标签:51Testing软件测试网Sn6@N.M8A7]
病毒名称:Trojan-PSW.Win32.Nilage.gen/Virus.Win32.Autorun.gen |
Z |HX9H+Q0
病毒别名:帕虫--瑞星,AV终结者--金山,U盘寄生虫--江民 IM'B
_w
A6d}!h(Yh^0 病毒类型:病毒 vta1CLd0 危害级别:5 $q}T"o;HDO9B0
感染平台:Windows 平台 B'wOCDq F0 病毒大小:33,363 (字节)51Testing软件测试网FY }!K!v8R A
SHA1 :d8ced73c38439ca03bd2f4f07a492b58b9a8294751Testing软件测试网H"HZf$p?N 加壳类型:upx51Testing软件测试网5V'S2Y7qun
开发工具:Delphi |
病毒分析: :I5w%|P+B&K%^R0 1、运行病毒文件后,会生成以下文件:51Testing软件测试网K:uiC.aF^ %CommonProgramFiles%\Microsoft
Shared\MSInfo\随机八位字符.dll (46163字节)51Testing软件测试网
xEg2IF/j*w&A %CommonProgramFiles%\Microsoft
Shared\MSInfo\随机八位字符.dat (33363字节)51Testing软件测试网
PMQ:O.?{$r %SystemRoot%\Help\随机八位字符.chm
(33363字节) V`7G0aEN9J0 %SystemRoot%\随机八位字符.hlp
(33字节)51Testing软件测试网&]0L"M}VEs 在除系统盘外的各盘根目录下生成 j&VA[&[0IL0
autorun.inf (172字节) 1Ju!^
H4f;U/a0
随机八位字符.exe (33363字节) K"\*A'\.B051Testing软件测试网Z AbS$j SgrF 2、关闭运行的安全软件,监控并关闭以下含有以下字符串的文件夹、窗体、进程、服务、网页或文本: ~,`#n0KYp0!c5[I.mYr'Q"^ Yf0
AntiVirus、Trojan、Firewall、Kaspersky、JiangMin、KV200、kxp、Rising、RAV、RFW、KAV200、KAV6、51Testing软件测试网I"y.w8fda7}?lM
OD,`
McAfe、Network
Associates、TrustPort、Norton、Symantec、SYMANT~1、Norton、SystemWorks、ESET、51Testing软件测试网5uK*] ])g0a(y7j
Grisoft、F-Pro、Alwil
Software、ALWILS~1、F-Secure、ArcaBit、Softwin、ClamWin、DrWe、Fortine、 4g2^RAi1^0
anda Software、Vba3、TrendMicro、QUICKH~1、TRENDM~1、Quick
Heal、eSaf、ewido、Prevx1、ersavg、 -EbPJA0YN0
Ikarus、Sopho、Sunbelt、PC-cilli、ZoneAlar、
Agnitum、WinAntiVirus、AhnLab、Norma、surfsecret、51Testing软件测试网mEH%bTo1]Wj
Bullguard、BlackICE、Armor2net、360safe、SkyNet、k2007、AntiyLabs、LinDirMicro
Lab、Filseclab、ast、51Testing软件测试网6[#?7eOF~\r`3h System Safety
Monitor、ProcessGuard、FengYun、Lavasoft、Defendio、kis6、Behead、sreng、IceSword、51Testing软件测试网 {$T1mS/?+\x.A
HijackThis、killbox、procexp、Magicset、EQSysSecure、ProSecurity、Yahoo!、Google、baidu、P4P、51Testing软件测试网N8[L)i-JpZj
Sogou
PXP、yaskp.sys、BDGuard.sys、超级兔子、木马、KSysFilt.sys、KSysCall.sys、AVK、K7、Zondex、 8]-ZLrH O0
blcorp、TinyFirewall
Pro、Jetico、HAURI、CA、kmx、PCClear_Plus、Novatix、Ashampoo、WinPatrol、51Testing软件测试网my'q+C.Ynan
Spy Cleaner
Gold、CounterSpy、EagleEyeOS、Webroot、BufferZone、avp、AgentSvr、Ccenter、Rav、 7TA8j P9{@:o8a0
RavMonD、RavStub、RavTask、rfwcfg、rfwsrv、RsAgent、Rsaupd、runiep、SmartUp、FileDsty、RegClean、51Testing软件测试网x;w6c\oU}
360tray、360Safe、360rpt、kabaload、safelive、Ras、KASMain、KASTask、KAV32、KAVDX、KAVStart、 8mr`3g;}H0
KISLnchr、KmailMon、KMFilter、KPFW32、KPFW32X、KPFWSvc、KWatch9x、Kwatch、KwatchX、TrojanDetector、 RAn }C0
UpLive.EXE、KVSrvXP、KvDetect、KregEx、kvol、kvolself、kvupload、kvwsc、UIHost、IceSword、iparmo、 ~6u5TKiR Ew.y0
mmsk、adam、MagicSet、PFWLiveUpdate、SREng、WoptiClean、scan32、shcfg32、mcconsol、HijackThis、51Testing软件测试网5i/GG!Z3{*g)t
mmqcj、Trojanwall、FTCleanerShell、loaddll.、rfwProxy、KsLoader、KvfwMcl、autoruns.、AppSvc32、51Testing软件测试网 `'d7a+v\)Vi,z
ccSvcHst、isPwdSvc、symlcsvc、nod32kui、avgrssvc、RfwMain、KAVPFW、Iparmor、nod32krn、PFW、RavMon、 2lS2]PhL4T)Y`0
KAVSetup、NAVSetup、SysSafe、QHSET、xsweep.、AvMonitor、UmxCfg、UmxFwHlp、UmxPol、UmxAgent、51Testing软件测试网-J:`5UQBv'Q|'q/X
UmxAttachment、KPFW32、KPFW32X、KvXP_1、KVMonXP_1、KvReport、KVScan、KVStub、KvXP、KVMonXP、KVCenter、51Testing软件测试网C
C+xC
ws#m:Vn
TrojDie、avp.com、krepair.COM、KaScrScn.SCR、Trojan、Virus、kaspersky、jiangmin、rising、ikaka、duba、 *d5@ FoC|+}DE0
kingsoft、360safe、木马、木馬、病毒、杀毒、殺毒、查毒、防毒、反病毒、专杀、專殺、卡巴、江民、瑞星、 *z&l`;lZ7yP!d(vp0
卡卡社区、金山毒霸、毒霸、金山、社区、360安全、恶意软件、流氓软件、举报、报警、杀软、殺軟、防駭、微点、 w!M2}um&p&e
J0
MSInfo、WinRAR、KvNative、bsmain、aswBoot LR%kY*RQQ051Testing软件测试网$sd"X:O9C;mr2VuM v
v#Y3N6r9h-}g%xI0 3、删除以下注册表项破坏安全模式 V)O1H,X c0
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}51Testing软件测试网C6@ })o4S
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}51Testing软件测试网{ zF egP&W2R
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}51Testing软件测试网wK)hS*Eg:k;]/JH?
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}51Testing软件测试网GJSzoc+_i'O(Dyj
修改系统隐藏属性:51Testing软件测试网b(kU2?U(d!p
改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ 2F.|0S)Y-Y,\0
Folder\Hidden\SHOWALL\CheckedValue值为051Testing软件测试网1g(wR {}D3Hc
m+p8E //1为显示隐藏文件 "uR]dw7{02Jv5g0w9?/O-IvQ)}0 4、添加IFEO映像劫持项51Testing软件测试网 }@q,bDH"v x
Vk!mn HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\360rpt.exe 7aTX?y-N0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\360Safe.exe UL7J au{usy6u0 HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\360tray.exe +_Wn
qH e0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\adam.exe dY} j"f-Z0 HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\AgentSvr.exe :U7J%e5V8yk#t3o0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\AppSvc32.exe51Testing软件测试网#u&eOT
d!ZnH HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\AST.exe51Testing软件测试网`J]CM
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\autoruns.exe `QY4i&JIIK$m0 HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\avgrssvc.exe51Testing软件测试网0U:C9_+[].P!m
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\AvMonitor.exe +@ m
tenQ7u@a0 HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\avp.com51Testing软件测试网\ J2T$kV
Q
P#V/r
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\avp.exe 2RXC1ar#f8J0 HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\CCenter.exe ~p1H8mJ ds0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\ccSvcHst.exe51Testing软件测试网c(X @2i ]G HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\FileDsty.exe51Testing软件测试网a2rR
i5s;z0a
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\FTCleanerShell.exe (].R*^_^5\#}0 HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\HijackThis.exe N
g C;T8x!k9A0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\IceSword.exe51Testing软件测试网M"~k$kw AMC s HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\iparmo.exe51Testing软件测试网
P;a[,{3YIpJ?`8IB
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\Iparmor.exe51Testing软件测试网D'ebVF(@ HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe51Testing软件测试网%N2E*wYT2AJ-QB
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\kabaload.exe Ms5FVY:]5v6Q.u~1b^ R0 HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR51Testing软件测试网4gab0h8a9V U
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KASMain.exe51Testing软件测试网']3Xh0Ad/Sw*Jd8B8[ HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\KASTask.exe
ZsiF|
H N:G z]0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KAV32.exe #wR&c |