“禽兽”病毒(杀软终结者)的分析和手动解决方法图文第1/2页_病毒查杀

最近有很多人中了这个“禽兽”病毒,之所以叫做“禽兽”病毒是因为病毒运行后,文件夹选项中隐藏文件的文字内容被修改成了“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。”

这个病毒其实就是原先分析的niu.exe的变种,不过此次变种变化巨大 增加了很多新的“功能”,中毒者在禽兽病毒和其他一些木马的“帮助”下 系统将完全处于无保护的状态.在没有任何工具的情况下 救活系统的可能性几乎为0

  此病毒的几大罪状如下:
  1.破坏安全模式 禁用系统的一些自我保护功能(自动更新,防火墙等)
  2.IFEO映像劫持杀毒软件以及常用安全工具
  3.禁用任务管理器
  4.修改主页
  5.关闭带有“杀毒”等字样的窗口
  6.感染html等网页文件
  7.删除gho文件,使用户无法还原系统
  8.U盘传播
  9.疯狂下载多种木马和流氓软件(多达20多种木马)

  下面是病毒的具体分析

1.释放如下文件:
%system32%\crsss.exe
在每个分区下面生成autorun.inf 和niu.exe
2.调用reg.exe进行如下操作:

添加自身启动项目
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D

禁用windows自动更新
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f

禁用任务管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f

破坏显示隐藏文件 并将选项名称改为“禽兽尚且有半点怜悯之心,而我一点没有,
所以我不是禽兽”
delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽. /f
破坏安全模式
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持项目指向%system32%\crsss.exe(篇幅所限,仅贴图)

当前1/2页 12下一页阅读全文

时间: 2024-09-15 12:05:44

“禽兽”病毒(杀软终结者)的分析和手动解决方法图文第1/2页_病毒查杀的相关文章

利用tasklist与taskkill实现AV终结者新变种(随机7位字母病毒)的删除方法[原创]第1/2页_病毒查杀

今天公司的电脑中了这个病毒,卡巴和360都无法运行,因为是xp系统,所以我想到了用tasklist和taskkill实现删除方法,具体方法 复制代码 代码如下: 运行-->cmd.exe先用tasklist >>list.txt得到病毒的pid值然后用taskkill /F /T /PID pid值,/F是强制终止,/T因为病毒有关联程序,必须加上这个才能彻底删除. /PID 就是用tasklist的到的pid值最后用你的杀毒软件和360彻底搜索吧,应该能搜出很多病毒文件 当前1/2页 

win10系统提示没有有效的IP配置的原因分析及两种解决方法图文教程

原因分析: 其实,该问题一般是由于网络出错导致的. 解决方法一: 将路由器和猫重启一下,一般都可以解决了! 解决方法二: 1.在开始菜单上单击鼠标右键,选择"命令提示符(管理员)": 2.在命令提示符框中输入:netsh winsock reset按下回车键,在弹出的已重置的提示后重启计算机即可解决问题! 以上就是win10系统提示没有有效的IP配置的原因分析及两种解决方法图文教程,方法很简单,同样遇到win10无线无法连接显示没有有效的IP配置问题的用户们,快去尝试操作看看吧!

手工毒霸删除瓢虫病毒的图文教程第1/3页_病毒查杀

金山毒霸2008官方介绍的技术资料看上去很美,实际面对病毒时,又怎么样呢?打算搞个病毒体验一把.病毒样本是在某论坛得到的小瓢虫,这个病毒差不多同时具备熊猫烧香和AV终结者病毒的特性,所有感染后的EXE会变成绿色瓢虫图标,病毒会修改很多系统配置,采用映像劫持或其它方式强行关闭杀毒软件. 测试环境:winxp sp2,金山毒霸2008官方下载版(病毒库12.5) 测试步骤:1.先看一眼这个瓢虫 2.试一下金山毒霸2008能否被瓢虫病毒干掉,特意关闭了金山毒霸的升级功能,测试的结果是金山毒霸.网镖.清

主页被改为ww.94ak.com的手动解决方法参考_病毒查杀

使用费尔木马强力清除助手(可到down.45it.com下载)删除以下文件: c:\program files\internet explorer\iexplore32.sys c:\program files\internet explorer\plugins\wn_sys8x.sys c:\windows\downloaded program files\ichatx.dll 2.删除后,使用SREng(可到down.45it.com下载)修复下面各项: 系统修复-- 浏览器加载项之如下项删

EXPLORER.EXE病毒手动解决方法_病毒查杀

行为: 1.释放文件: C:\WINDOWS\system\SERVICES.EXE  65536 字节 C:\WINDOWS\system\SYSANALYSIS.EXE  65536 字节 C:\WINDOWS\system\explorer.exe 976896 字节 2.删除备份文件: C:\WINDOWS\system32\dllcache\explorer.exe 3.覆盖系统文件:C:\WINDOWS\explorer.exe 系统启动时先执行病毒体,再执行C:\WINDOWS\s

win7系统电脑被病毒入侵之后有哪些症状和解决方法

  具体方法如下: 一 .计算机系统运行迟缓 正常情况下,除非计算机显卡太差,目前的计算机都是运行比较流畅快速,如果刚开机时,或者是打开其他的软件都卡的不得了,那计算机十有八九中了毒. 二 . 计算机无故死机 正常的系统不会死机,如果电脑总是出现蓝屏黑屏的情况,你的电脑里很有可能携带病毒木马之类的软件. 三.丢失文件或文件损坏 当恶意病毒侵入电脑时,很多具有篡改和破坏文件的功能,导致有时候我们的电脑文件出现丢失或者打不开的情况. 四.杀毒软件一号--瑞星 这个现在是中国最实具有实用价值和保障安全

不比熊猫弱的可以穿透冰点5.7--6.2机器狗病毒解决办法与机器狗病毒的官方防御方法第1/2页_病毒查杀

刚才反复测试了几个版本,DF的以上版本全部被穿..... 彻底疯狂ing....目前只能在路由上封掉几个网站....期待高手的出现! 样本发上来了....说不能穿透的自己先测试下 全盘保护,系统完全开放,没任何限制!现在不知道为什么有的系统不穿~ 运行后直接重起,看启动项就知道了 为避免有人恶意破坏 现取消了病毒样本 screen.width-500)this.style.width=screen.width-500;" border=0>此主题相关图片如下:screen.width-50

关于木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等的清除方法第1/2页_病毒查杀

关于木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等的清除Trojan.PSW.OnlineGames.XX相关病毒 最近很多人中了木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马 一般sreng日志表现如下: 启动项目里 (不一定全) <wsttrs><C:\windows\wsttrs.

非常不错的封杀网络木马病毒十大绝招第1/2页_病毒查杀

木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你.有人说,既然木马这么厉害,那我离它远一点不就可以了! 然而这个木马实在是"淘气",它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你"家"中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在"家"中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题.下面就是木马潜伏的诡招,看了以后不要忘记