无耻的随机7位字符名病毒的查杀方法_病毒查杀

病毒指纹:

SHA-160             : DA14DDB10D14C568B62176AAB738B0C479A06863
MD5                 : C505733FFDDA0394D404BD5BB652C1A6
RIPEMD-160          : 410EF9736AD4966094C096E57B477B7572B7ED9C
CRC-32              : FF6E4568

病毒大小:43,900 字节

连接网络下载病毒:

输入地址:61.152.255.252
对应地址:上海市电信IDC

在本机随机生成如下病毒文件:

meex.com、rmwaccq.exe、wojhadp.exe、nqgphqd.exe、autorun.inf

下载运行如下文件:

1A11.exe、2B12.exe、3C13.exe、2B12.exe

随机生成hiv文件进行进程互守

破坏安全模式;

.Upack:00408184 s_SystemControl db 'SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}',0
.Upack:00408184                                              ; DATA XREF: sub_407CF4+6B o
.Upack:004081D9                      align 4
.Upack:004081DC s_T                  db 0FFh,0FFh,0FFh,0FFh,'T',0
.Upack:004081E2                      align 4
.Upack:004081E4 s_SystemContr_0 db 'SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}',0
.Upack:004081E4                                              ; DATA XREF: sub_407CF4+7A o
.Upack:00408239                      align 4
.Upack:0040823C s_X                  db 0FFh,0FFh,0FFh,0FFh,'X',0
.Upack:00408242                      align 4
.Upack:00408244 s_SystemCurrent db 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}',0
.Upack:00408244                                              ; DATA XREF: sub_407CF4+89 o
.Upack:0040829D                      align 10h
.Upack:004082A0 s_X_0                db 0FFh,0FFh,0FFh,0FFh,'X',0
.Upack:004082A6                      align 4
.Upack:004082A8 s_SystemCurre_0 db 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}',0
.Upack:004082A8                                              ; DATA XREF: sub_407CF4+98 o
.Upack:00408301                      align 4
.Upack:00408304                      dd 0FFFFFFFFh, 0Ch

破坏隐藏文件选项:
.Upack:0040830C s_Checkedvalue       db 'CheckedValue',0          ; DATA XREF: sub_407CF4+A7 o
.Upack:00408319                      align 4
.Upack:0040831C s_Q                  db 0FFh,0FFh,0FFh,0FFh,'Q',0
.Upack:00408322                      align 4
.Upack:00408324 s_SoftwareMicro db 'software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall',0

开启自动播放;

.Upack:00408524 s_SoftwareMic_4 db 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer',0
.Upack:00408524                                              ; DATA XREF: sub_407CF4+201 o
.Upack:00408560 ; char s_Nodrivetypeau[]
.Upack:00408560 s_Nodrivetypeau db 'NoDriveTypeAutoRun',0 ; DATA XREF: sub_407CF4+21A o

关闭并禁用AVP、wuauserv、wscsvc'、RsRavMon、RsCCenter、RSPPSYS服务

.Upack:004085CC ; char s_SystemCurre_5[]
.Upack:00408600 s_SystemCurre_6 db 'SYSTEM\CurrentControlSet\Services\RSPPSYS',0
.Upack:00408600                                            ; DATA XREF: sub_407CF4+2D9 o
.Upack:0040862A                    align 4
.Upack:0040862C ; char s_SystemCurre_7[]
.Upack:0040862C s_SystemCurre_7 db 'SYSTEM\CurrentControlSet\Services\RsCCenter',0
.Upack:0040862C                                            ; DATA XREF: sub_407CF4+30F o
.Upack:00408658 ; char s_SystemContr_1[]
.Upack:00408658 s_SystemContr_1 db 'SYSTEM\ControlSet001\Services\RsCCenter',0
.Upack:00408658                                            ; DATA XREF: sub_407CF4+345 o
.Upack:00408680 ; char s_SystemContr_2[]
.Upack:00408680 s_SystemContr_2 db 'SYSTEM\ControlSet001\Services\RsRavMon',0
.Upack:00408680                                            ; DATA XREF: sub_407CF4+37B o
.Upack:004086A7                    align 4
.Upack:004086A8 ; char s_SystemContr_5[]
.Upack:004086A8 s_SystemContr_5 db 'SYSTEM\ControlSet001\Services\wscsvc',0
.Upack:004086A8                                            ; DATA XREF: sub_407CF4+3B1 o
.Upack:004086CD                    align 10h
.Upack:004086D0 ; char s_SystemContr_3[]
.Upack:004086D0 s_SystemContr_3 db 'SYSTEM\ControlSet001\Services\wuauserv',0
.Upack:004086D0                                            ; DATA XREF: sub_407CF4+3E7 o
.Upack:004086F7                    align 4
.Upack:004086F8 ; char s_SystemContr_4[]
.Upack:004086F8 s_SystemContr_4 db 'SYSTEM\ControlSet002\Services\AVP',0
.Upack:004086F8                                            ; DATA XREF: sub_407CF4+41D o

对N多的安全工具、系统程序以及杀毒软件做映像劫持(IFEO)

由于太多就不列出了,和以前的病毒样本劫持的一样,具体可以参见好友余弦函数的文章。

解决方法

使用procexp.exe暂停病毒两个进程,运行里面键入“system32”后按时间排列图标找到病毒文件后删除:

重命名autoruns打开找到映像劫持项只保留Your Image File Name Here without a path项其他全部删除

打开acdsee删除每个盘符下的病毒文件和autorun.inf脚本切忌不要使用右键的打开和资源管理器,

[AutoRun]
open=nqgphqd.exe
shell\open=打开(&O)
shell\open\Command=nqgphqd.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=nqgphqd.exe

修复安全模式和隐藏文件的注册表如下(将如下文件保存为reg文件双击导入注册表):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Type"="radio"
"CheckedValue"=dword:00000001

病毒用脚本插入了这两个常规命令,由于病毒生成的文件名随机,而且进程标识符(PID)也是随机变化的,所以只能够贴图来写解决方法了。

时间: 2024-09-20 01:01:44

无耻的随机7位字符名病毒的查杀方法_病毒查杀的相关文章

IO.pif变种分析清除(兼答avzx*,kvdx*,等随机7位字母的dll木马群的方法_病毒查杀

File: IO.pif Size: 19456 bytes MD5: 90C509FA6A6C2FA798DBE1CFD7F0E4F1 SHA1: DBF721F48369CFBB2B88D0F5D707924A7FE185EC CRC32: 9822E714 生成如下文件: %Program Files%\Common Files\Services\svchost.exe %system32%\DirectX10.dll 在每个分区下面生成一个autorun.inf和IO.pif 达到通过U

recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法_病毒查杀

一.病毒描述:         病毒通过U盘传播,运行后复制自身到系统目录并释放一个灰鸽子木马.为增强隐蔽性,生成的病毒文件有回收站和安         装程序两种图标.          二.病毒基本情况:         病毒名称:Trojan-Dropper.Win32.VB.rj         病毒别名:无         病毒类型:病毒         危害级别:3         感染平台:Windows         病毒大小:458,752(字节)         SHA1

解决无法删除病毒文件的处理方法_病毒查杀

随着不限时宽带的普及,为了方便BT下载,很多朋友都爱24小时挂机.全天候的在线,这给一些病毒.木马"入侵"系统带来了极大便利,他们可以在半夜入侵我们的电脑,肆意为非作歹.近日笔者在帮助一位朋友杀毒的时候,就遭遇一个"无法删除的病毒",下面将查杀经验与大家共享.  1.惊现病毒.朋友的电脑安装的是Windows XP专业版,近来常常彻夜开机用BT下载电影,没想到在一次开机的时候,Norton就报告在下发现病毒"exporer.exe",不过使用No

sxs.exe病毒删除完美解决方法_病毒查杀

方法一: 可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有SES.EXE文件 如果是的话 那么中的是修改过的ROSE病毒解决方法是这样的:在安全模式下进行手动杀毒,另外,我在注册表里,手动搜索与病毒有关的文件:sxs.exe.svohost.autorun.inf,找到后全删,把每个盘符的都删掉,然后顺安全模式下运行杀毒软件,就OK了 . 手工处理如下:任务管理器可以结束SXS的进程删除,记住,用鼠标右键进入硬盘 同时按下Ctrl+Shift+Esc三个键 打开wind

md9.exe scvhost.exe 只木马下载者查杀方法_病毒查杀

从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法_病毒查杀

通过u盘传播的病毒sxs.exe威力向来很大,曾经n个计算机被他搞垮~~其变种也日益翻新,花样白出~~机房电脑又中毒了...各盘符下有隐藏的文件,图标是柯南头像的sxs.exe及autorun,病毒系统进xeklsk.exe. 通过文件夹选项不能显示隐藏文件. 经过反复查找,此病毒乃最新变种,网上给出查杀方法的很少~现提供如下,仅作参考: ---- 解决方案: ***提示:杀毒过程中注意盘符不要双击,点鼠标右键"打开"!*** 1.结束进程xeklsk.exe,sxs.exe及其他可疑

巧妙从进程中判断出病毒和木马的方法_病毒查杀

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法.但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文.  病毒进程隐藏三法  当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:  1.以假乱真  系统中的

威金变种病毒的查杀方法_病毒查杀

近来,威金变种病毒肆虐,不少人中招后被迫格式化所有分区,苦心保存的数据毁于一旦. 中了这种病毒的特征是:系统响应缓慢,玩网络游戏时会自动退出,硬盘里的EXE文件图标会变"花":到dos下用ghost恢复系统失败:如果不全盘格式化,重装系统也不能解决问题.  今天有幸遇到感染此种病毒的电脑,在机主几乎绝望的情况下清除了病毒,挽救了他多年积累的数据. 现在,偶把此次杀毒的过程贴上来,供遇到类似问题的网友参考.  清除病毒的步骤如下:  一.结束病毒进程,删除病毒的启动项. 1.开机按F8键

shualai.exe病毒及手工查杀方法_病毒查杀

这是个利用ANI漏洞传播的木马群,其"动态插入进程"的功能是导致中招后杀毒困难的原因之一. 另:中招后,系统分区以外的.exe全被感染.这也是中此毒后的麻烦之处. 中招后的"症状":进程列表中可见shualai.exe进程. 建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作. 手工查杀流程如下(用IceSword操作): 1.禁止进程创建. 2.根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪