shualai.exe病毒及手工查杀方法_病毒查杀

这是个利用ANI漏洞传播的木马群,其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。

另:中招后,系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。

中招后的“症状”:进程列表中可见shualai.exe进程。

建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作。

手工查杀流程如下(用IceSword操作):

1、禁止进程创建。

2、根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪些进程,取决于你当时运行的程序。以下是我运行该样本后的例子。)

Code:
[PID: 484][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]

[PID: 2252][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]

[PID: 3880][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]

[PID: 2760][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]

[PID: 2548][C:\windows\shualai.exe] [N/A, N/A]

3、删除病毒文件;清空IE临时文件夹。

4、删除病毒启动项

考虑一种特殊情况:

如果有人将autoruns等工具放在了系统分区以外,此时运行autoruns————麻烦大了!!————中此毒后,系统分区以外的.exe全被感染。

5、取消IceSword的“禁止进程创建”。

6、修复hosts文件。

注:系统分区以外的那些被病毒感染的.exe——估计是没救了。

时间: 2024-07-31 14:50:14

shualai.exe病毒及手工查杀方法_病毒查杀的相关文章

md9.exe scvhost.exe 只木马下载者查杀方法_病毒查杀

从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

u盘病毒清除 Discovery.exe查杀方法_病毒查杀

这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意. Quote: File: Discovery.exe Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件: Quote: %syst

最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法_病毒查杀

通过u盘传播的病毒sxs.exe威力向来很大,曾经n个计算机被他搞垮~~其变种也日益翻新,花样白出~~机房电脑又中毒了...各盘符下有隐藏的文件,图标是柯南头像的sxs.exe及autorun,病毒系统进xeklsk.exe. 通过文件夹选项不能显示隐藏文件. 经过反复查找,此病毒乃最新变种,网上给出查杀方法的很少~现提供如下,仅作参考: ---- 解决方案: ***提示:杀毒过程中注意盘符不要双击,点鼠标右键"打开"!*** 1.结束进程xeklsk.exe,sxs.exe及其他可疑

recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法_病毒查杀

一.病毒描述:         病毒通过U盘传播,运行后复制自身到系统目录并释放一个灰鸽子木马.为增强隐蔽性,生成的病毒文件有回收站和安         装程序两种图标.          二.病毒基本情况:         病毒名称:Trojan-Dropper.Win32.VB.rj         病毒别名:无         病毒类型:病毒         危害级别:3         感染平台:Windows         病毒大小:458,752(字节)         SHA1

威金变种病毒的查杀方法_病毒查杀

近来,威金变种病毒肆虐,不少人中招后被迫格式化所有分区,苦心保存的数据毁于一旦. 中了这种病毒的特征是:系统响应缓慢,玩网络游戏时会自动退出,硬盘里的EXE文件图标会变"花":到dos下用ghost恢复系统失败:如果不全盘格式化,重装系统也不能解决问题.  今天有幸遇到感染此种病毒的电脑,在机主几乎绝望的情况下清除了病毒,挽救了他多年积累的数据. 现在,偶把此次杀毒的过程贴上来,供遇到类似问题的网友参考.  清除病毒的步骤如下:  一.结束病毒进程,删除病毒的启动项. 1.开机按F8键

勾子程序q.dll大战!清杀方法_病毒查杀

勾子程序q.dll太狠了! 1.反安装所有杀毒软件和各种木马清除程序(包括360.瑞星卡卡等),只要一装就重启,然后删除这些程序的主程序. 2.修改hosts表,全部指向一个特定的IP地址,一些下载木马清除程序的网站都上不了. 3.稳藏启动,msconfig看不到,运行后,挂勾explorer.exe,自动启动两个假的ie进程及各种网络相关程序和部分本地运行的程序,如unlock等,使你无法用unlock程序. 4.专盗QQ等游戏账号,然后获取工具.Q币等. 清杀方法: 1.安装unlock最新

手工查杀SMSS.exe hook.dll fOxkb.sys的方法_病毒查杀

病毒名称:Trojan-PSW.Win32.OnLineGames.qw [dll](Kaspersky), Rootkit.Win32.Agent.fy [sys](Kaspersky) 病毒别名:Trojan.PSW.Win32.JHOnline.a [exe](瑞星), Trojan.PSW.Win32.OnlineGames.dba [dll](瑞星)  Trojan.PSW.Win32.JHOnline.a [sys](瑞星) 病毒大小:49,664 字节 加壳方式: 样本MD5:33

RAV0088.exe RAV0088.DAT手工查杀方法_病毒查杀

病毒名称:N/A(Kaspersky) 病毒别名:Win32.Troj.OnLineGamesT.cu.65536 [dll](毒霸) 病毒大小:9,420 字节 加壳方式:PE_Patch UPack 样本MD5:e14c15ece526b8dea5347b1bdad8afe0 样本SHA1:31bd81eaf9182e9f87a9c2df55fa748a8c1ce0ad 发现时间:2007.8 更新时间:2007.8 关联病毒: 传播方式:通过恶意网站传播,其它木马下载 技术分析 =====

SysLoad3.exe木马病毒的分析及清除方法_病毒查杀

使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了.        特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!!  [b]二:以下是分析和手动清除方法:      昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的