替换ctfmon.exe的下载器window.exe的方法_病毒查杀

病毒描述:
  此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作

  File: window.exe

  Size: 19380 bytes

  Modified: 2007年10月19日, 17:42:28

  MD5: BDAA1AB926518C7D3C05B730C8B5872C

  SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A

  CRC32: BEC77526

  1.病毒运行后,生成以下文件:

%systemroot%\system32\ctfmon.exe.tmp 

  结束ctfmon.exe进程,之后启动

%systemroot%\system32\ctfmon.exe.tmp 

  2.修改注册表

  在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager

  下面的PendingFileRenameOperations添加键值,使得重启之后把ctfmon.exe.tmp

  重命名为ctfmon.exe

  

  

  3.遍历非系统分区下面的

  php,jsp,asp,htm,html文件,在其后面加入 的代码

  4.通过netsh firewall add allowedprogram %systemroot%\system32\ctfmon.exe命令

  把%systemroot%\system32\ctfmon.exe加入到防火墙的允许列表中

  5.试图以下列密码连接局域网内其他用户电脑

      901100 
  mypass123 
  mypass 
  admin123 
  mypc123 
  mypc 
  love 
  pw123 
  Login 
  login 
  owner 
  home 
  zxcv 
  yxcv 
  qwer 
  asdf 
  temp123 
  temp 
  test123 
  test 
  fuck 
  fuckyou 
  root 
  ator 
  administrator 
  patrick 
  123abc 
  1234qwer 
  123123 
  121212 
  111111 
  alpha 
  2600 
  2003 
  2002 
  enable 
  godblessyou 
  ihavenopass 
  123asd 
  super 
  computer 
  server 
  123qwe 
  sybase 
  abc123 
  abcd 
  database 
  passwd 
  pass 
  88888888 
  11111111 
  000000 
  54321 
  654321 
  123456789 
  1234567 
  qq520 
  5201314 
  admin 
  12345 
  12345678 
  mein 
  letmein 
  2112 
  baseball 
  qwerty 
  7777 
  5150 
  fish 
  1313 
  shadow 
  1111 
  mustang 
  pussy 
  golf 
  123456 
  harley 
  6969 
  password 
  1234 

  6.连接网络下载木马

  下载http://60.190.*/elf_listo.txt到%systemroot%\system32下面

  里面是木马下载列表

  下载http://60.190.*/win1.exe~http://60.190.*/win20.exe到C盘根目录下面

  下载的木马均为盗号木马,可以盗取如下游戏的帐号密码(不限于)

      奇迹世界 
  魔兽世界 
  QQ 
  天龙八部 
  问道 
  传奇世界  ... 

  其中一个传奇世界木马里面还有如下字样   

  木马植入完毕后的sreng日志如下:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 

时间: 2024-11-03 19:36:45

替换ctfmon.exe的下载器window.exe的方法_病毒查杀的相关文章

emapicn.exe,winpac.exe恶意插件疯弹广告解决方法_病毒查杀

1.运行强制删除工具PowerRMV 下载地址:down.45it.com 分别复制下面的文件(包括完整的路径) ,勾选"清除,并抑止文件再次生成",点开始[有找不到提示的请忽略错误继续] d:\program files\common files\sevcha\emapicn.exe d:\program files\common files\sevcha\winpac.exe 2.删除重启后使用SREng(可到down.45it.com下载): 删除下面的服务(运行SRENG---

inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法_病毒查杀

木马Trojan-PSW.Win32.Magania.cjy inst.exe,Setup.exe Backdoor/Agent.apnf  病毒名称: Trojan-PSW.Win32.Magania.cjy 病毒类型: 木马 江民杀毒 10.00.650  Backdoor/Agent.apnf 1.395 NOD32 2.70.10  a variant of Win32/PSW.OnLineGames.NFF trojan 4.185 该病毒为玛格尼亚病毒的新变种,释放一个DLL通过挂钩

md9.exe scvhost.exe 只木马下载者查杀方法_病毒查杀

从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

关于rundl132.exe vidll.dll LOGO1.exe 的清除方法_病毒查杀

最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧. 1.打开系统的"显示隐藏文件"并下载相应的杀毒软件和 维金EXE修复工具 (重要) 2.查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马.可以用tskill 来结束这些进程. 3.找到木马所在的路径并删除,然后新建一个同名文件,并

sxs.exe病毒删除完美解决方法_病毒查杀

方法一: 可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有SES.EXE文件 如果是的话 那么中的是修改过的ROSE病毒解决方法是这样的:在安全模式下进行手动杀毒,另外,我在注册表里,手动搜索与病毒有关的文件:sxs.exe.svohost.autorun.inf,找到后全删,把每个盘符的都删掉,然后顺安全模式下运行杀毒软件,就OK了 . 手工处理如下:任务管理器可以结束SXS的进程删除,记住,用鼠标右键进入硬盘 同时按下Ctrl+Shift+Esc三个键 打开wind

HDM.exe手工查杀U盘病毒的方法_病毒查杀

HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面: Quote: 1.使用恢复SSDT的方式破坏杀毒软件 2.IFEO映像劫持 3.关闭指定窗口 4.删除gho文件 5.破坏安全模式,以及显示隐藏文件功能 6.感染htm等网页文件 7.猜测密码通过局域网传播 8.通过U盘等移动存储传播 9.arp欺骗 具体分析如下: Quote: File: HDM.exe Size: 13312 bytes Modified: 2007年11月28日, 16:52:08 MD5: 7E

iexplore.exe在打开网页时CPU使用会100%的解决方法_病毒查杀

CPU占用100%解决办法  一般情况下CPU占了100%的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了.  当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要CPU正常了那就没问题:如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去google或者 baidu 搜.有时只结束是没用的,在 xp下我们可以结合msconfig里的启动项,把一些不

AutoRun.wp(gg.exe)U盘木马清除方法_病毒查杀

文件名称:gg.exe 文件大小:65607 byte AV命名: Worm.Win32.AutoRun.wp  卡巴斯基 Worm.Delf.65607  金山毒霸 Win32.HLLW.Autoruner.548   Dr.WEB 加壳方式:未 编写语言:Microsoft Visual C++ 6.0 文件MD5:33d493af096ef2fa6e1885a08ab201e6 行为分析: 1.  释放病毒文件: C:\WINDOWS\gg.exe  65607 字节 2.  添加启动项:

威金变种 rundl132.exe RichDll.dll,f1.exe,f2.exe,f3.exe,f4,exe,f5.exe,f11.exe解决方法_病毒查杀

威金变种 rundl132.exe RichDll.dll解决方法 该变种暂时还没被江民和卡巴查杀,并用了几个专杀就找到一个可查杀修复EXE文件! 病毒运行后,访问网络下载多个木马程序(f1.exe,f2.exe,f3.exe,f4.exe,f5.exe,f6.exe,f7.exe,f8.exe,f9.exe,f10.exe,f11.exe)并运行!生成以下病毒文件(感觉现在的病毒真是变态): C:\Documents and Settings\你的用户名\Local Settings\Temp