对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具

病毒症状:

  杀毒软件被禁用、隐藏文件无法显示、开始命令msconfig无法运行、很多辅助软件也无法运行,运行EXE以及SCR 文件后被病毒的感染

  手动查杀用到的软件:

  SRENG软件以及XDELBOX软件

  
Quote:
病毒名称:Trojan-Downloader.Win32.Agent.****
  病毒类型:木马
  病毒MD5:2ccd81d7d358778b11de9303e0097d2d
  加壳类型:UPX
  编写语言:Borland Delphi 6.0 - 7.0

  病毒运行

  生成进程:

  
Code:
C:\WINDOWS\system32\Death.exe
  C:\WINDOWS\system32\Supervise.exe

  释放文件
  
Code:
C:\WINDOWS\system32\Supervise.exe(这个Supervise.exe调用net.exe执行局域网络的感染,并且创建文件:%system32%\Death.SiShen,将病毒信息写进此文件)
(此进程还会Supervise.exe开启端口 连接网络下载木马!!!真是可恶)
  C:\WINDOWS\system32\Death.SiShen
  C:\WINDOWS\system32\Death.exe(这个进程生成Supervise.exe文件)
  C:\WINDOWS\system32\Death.SiShen

  以及每个盘根目录下有ANTO隐藏文件

  双击硬盘也会导致病毒运行 请大家点右键--打开

修改注册表

  
Code:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe"
  [HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000

  搜索尝试关闭杀毒软件以及辅助软件的窗口

  尝试关闭杀毒软件以及辅助软件等进程

  搜索感染除系统盘以外的 .exe/.scr 文件.
  受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.运行被感染的exe文件后,将释放病毒!

  可以通过区域网传播(death.exe)

手动删除方法:

  1:关闭系统还原 清空IE临时文件夹

  2:进安全模式

  终止进程Death.exe进程

  3:用XDELBOX软件 钩上抑制再生后 删除以下文件:

  
Code:
C:\WINDOWS\system32\Death.exe  
  C:\WINDOWS\system32\Supervise.exe
  C:\WINDOWS\system32\Death.SiShen
  C:\WINDOWS\system32\Death.SiShen

  4:打开SRENG软件 在启动中删除以下启动:

  
Code:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe" .

  ------SRENG软件 在系统修复--全选--修复

  -----或者打开注册表 开始运行--REGEDIT-修改项直
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1

  ------有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了(步骤:删除此CheckedValue键值,单击右键 新建——Dword值——命名为“CheckedValue”,修改键值为1)

  --重起

  ------手动删除每个盘下面的AUTO隐藏文件

  ------重起(不要点被感染的EXE、SCR文件!!)

  ------安全模式下 杀毒软件扫描删除病毒残留感染文件以及配合360修复系统

  --重起 OK

(0)

相关推荐

  • 对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具

    病毒症状: 杀毒软件被禁用.隐藏文件无法显示.开始命令msconfig无法运行.很多辅助软件也无法运行,运行EXE以及SCR 文件后被病毒的感染 手动查杀用到的软件: SRENG软件以及XDELBOX软件 Quote: 病毒名称:Trojan-Downloader.Win32.Agent.**** 病毒类型:木马 病毒MD5:2ccd81d7d358778b11de9303e0097d2d 加壳类型:UPX 编写语言:Borland Delphi 6.0 - 7.0 病毒运行 生成进程: Cod

  • 水牛(shuiniu.exe)手工查杀方法不用专杀工具

    这是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其发现和删除更加困难,因其主文件名"ShuiNiu.exe",因此称病毒为"水牛"病毒. Quote: File: ShuiNiu.exe Size: 22069 bytes Modified: 2007年11月5日, 10:13:38 MD5: 1FA97A5E1766D6E668321838A6F3E536 SHA1: 943

  • 关于近来网上大量泛滥的灰鸽子病毒(Huigezi、Gpigeon)介绍和查杀大全附专杀工具

    转自原论坛 jakee 的帖子: 近来很多网友反映他们的机器中了一种叫做灰鸽子的木马病毒,这种病毒很是顽劣,在不同杀软上有不同名称比如:Gpigeon.Huigezi.Feutel,在计算机中清除它很是费事,特别是其刚刚开发出的2005,通过截取windows系统的API实现了程序文件隐藏.进程隐藏,服务隐藏三个隐藏,一般杀软在正常模式下根本就找不到其病毒文件,更别提查杀了的事情了,连杀软都很难对付,对用户而言更是头痛了,本文简单介绍了灰鸽子病毒的运行原理,手工检测方法.手工清除方法.防止感染的

  • MY123病毒清除方法,专杀工具下载

    近期爆发的恶性病毒?比上次普遍感染的"sxs.exe病毒"更夸张,并且已经从流氓软件的范畴变身为病毒了. 病毒现象: IE 浏览器首页无法改变,被修改为 www.my123.com , 或自动跳转到 7255 . 手动清除方法非常烦琐,并且目前依然不停有变种出来,所以一般用户还是尝试用专杀工具吧 MY123.com 病毒专杀工具 目前许多工具已经针对此病毒发布了最新的专杀工具,已经可以比较方便的删除它了,并且杀毒厂商也关注起来,病毒变种虽然变的快,相信专杀工具也出的不会太晚,请关注下面

  • Autorun随机7位字母命名的病毒专杀工具

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>七位字母命名的病毒专杀工具</tit

  • conime.exe是什么附conime.exe病毒的清除方法

    非常郁闷的事情,最近conime.exe好像又红火起来了,早在2005年就有很多人问conime.exe是什么进程,是病毒吗? 1.conime.exe不一定是病毒,conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号.但也不排除是bfghost1.0远程控制后门程序(伪装成conime.exe输入法进程).此程序允许攻击者访问你的计算机,窃取密码和个人数据.建议立即删除此进程. 2.这里我们介绍下正常conime.exe进程的进程信息: 出品者: 微软 属于: Mi

  • sxs.exe 病毒专杀工具 最近更新

    关于sxs.exe 病毒查杀文章请看下面的链接 http://www.jztop.com/net/bdzq/du/20060813/26006.html 杀毒前请先断开网络连接,运行专杀工具完以后重启电脑 下载地址: 下载sxs.exe病毒专杀工具 *************************************** 前些天电脑中了"sxs.exe病毒",后来整理了一篇"sxs.exe病毒手动删除方法",没想到短短几天时间,通过搜索找过来的朋友就突破800

  • woso.exe,wlso.exe,wmso.exe, woso.exe,ztso.exe 等木马盗号病毒专杀工具

    具体问题是这样的.卡巴杀出这些木马程序,但是我发现在"系统配置实用程序"里面的"启动"选项里面,有一些东西((可能最开始是病毒文件)).比如说,  C;DOCUME~1\Acer\LOCALS~1\Temp\wgso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\wlso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\wmso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\woso.exe

  • HDM.exe手工查杀U盘病毒的方法

    HDM.exe手工查杀U盘病毒的方法

    HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面: Quote: 1.使用恢复SSDT的方式破坏杀毒软件 2.IFEO映像劫持 3.关闭指定窗口 4.删除gho文件 5.破坏安全模式,以及显示隐藏文件功能 6.感染htm等网页文件 7.猜测密码通过局域网传播 8.通过U盘等移动存储传播 9.arp欺骗 具体分析如下: Quote: File: HDM.exe Size: 13312 bytes Modified: 2007年11月28日, 16:52:08 MD5: 7E

  • 清除猖狂的Sxs.exe病毒

    针对症状,我先上网找了相关的资料,首先,要显示隐藏文件 在这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符

随机推荐