setup.exe microsoft.exe SP00LV.exe手动查杀

释放
c:\setup.exe 
Size: 28,672 bytes 
c:\Documents and Settings\user\Local Settings\Temp\rs.bat 
Size: 105 bytes 
%windir%\system32\microsoft.exe 
Size: 28,672 bytes 
%windir%\system32\SP00LV.exe 
Size: 28,672 bytes 
%windir%\system32\drivers\svchost.exe 
Size: 28,672 bytes 
d:\setup.exe 
Size: 28,672 bytes 
e:\setup.exe 
Size: 28,672 bytes 
f:\setup.exe 
Size: 28,672 bytes 
其中rs.bat内容
@echo off
:start
if not exist ""%1"" goto done
del /F ""%1""
del ""%1""
goto start
:done
del /F %t
注册表添加HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Winnet COM+ 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Internat" 
Type: REG_SZ 
Data: C:\windows\system32\microsoft.exe 顠|癓搢 ? 爧 笒 綴 弱 荎搢 怎 ( S - ▼ 5 - ( (? 7 2 搢 ?7 7 ? D? 顠|? T? 8 搢?搢?搢 ! ?搢?搢?蛈駷 | Wk苪X 鴐苪 捳抾 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program Files" 
Type: REG_SZ 
Data: C:\windows\system32\SP00LV.exe 7 2 搢 ?7 7 旜 ? 伉 顠|? 桫 8 搢 ?搢0? @ 7 t e m 3 2 \ d r x 7 e r s \ s v o s t . e x e @? p97 2 搢 ?7 7 ? 顠|? l? x 7 ?搢H97 0? 袐 x 7 @ 7 x97 @ 
修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" 
Old data: 01, 00, 00, 00     修改以使系统不显示隐藏文件
New data: 00, 00, 00, 00 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#PCI#VEN_8086&DEV_24C5&SUBSYS_4720414C&REV_02#3&13C0B0C5&0&FD#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#Wave\Device Parameters\Mixer\0\   使系统静音

关闭带有以下字符的窗口

安全卫士
扫描
专杀
注册表
process
进程

木马
防御
防火墙
病毒
检测
firewall
virus
anti
金山
江民
卡巴斯基
worm
360
微点
micropoint
克星
广告
avk
kaspersky
f-secure
escan
Norton
诺顿
mcafee
Virus
panda
熊猫
trojan
Door
AVG
360tray.exe
ravtask.exe
ravstub.exe
ravmond.exe
ravmon.exe
ccenter.exe
rfwstub.exe
rfwproxy.exe
rfwsrv.exe
rfwain.exe
ras.exe
runiep

反汇编一下。。发现: %s\psexec.exe \\%s -u %s -p %s -c %s\servrr.exe - 
并且利用http://tools.hxstat.com/ip/ 获得ip地址

解决:

使用sreng除启动项 []
    []
删除服务[Winnet COM+ / Winnet COM+][Stopped/Auto Start]

删除文件:*:\setup.exe
c:\WINDOWS\system32\microsoft.exe 
c:\WINDOWS\system32\SP00LV.exe 
c:\WINDOWS\system32\drivers\svchost.exe

最后修复注册表

(0)

相关推荐

  • setup.exe microsoft.exe SP00LV.exe手动查杀

    释放 c:\setup.exe  Size: 28,672 bytes  c:\Documents and Settings\user\Local Settings\Temp\rs.bat  Size: 105 bytes  %windir%\system32\microsoft.exe  Size: 28,672 bytes  %windir%\system32\SP00LV.exe  Size: 28,672 bytes  %windir%\system32\drivers\svchost.

  • 关于rundl132.exe vidll.dll LOGO1.exe 的清除方法

    最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧. 1.打开系统的"显示隐藏文件"并下载相应的杀毒软件和 维金EXE修复工具 (重要) 2.查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马.可以用tskill 来结束这些进程. 3.找到木马所在的路径并删除,然后新建一个同名文件,并

  • 威金变种 rundl132.exe RichDll.dll,f1.exe,f2.exe,f3.exe,f4,exe,f5.exe,f11.exe解决方法

    威金变种 rundl132.exe RichDll.dll解决方法 该变种暂时还没被江民和卡巴查杀,并用了几个专杀就找到一个可查杀修复EXE文件! 病毒运行后,访问网络下载多个木马程序(f1.exe,f2.exe,f3.exe,f4.exe,f5.exe,f6.exe,f7.exe,f8.exe,f9.exe,f10.exe,f11.exe)并运行!生成以下病毒文件(感觉现在的病毒真是变态): C:\Documents and Settings\你的用户名\Local Settings\Temp

  • diskregerl.exe(Trojan.Agent.cdt)病毒手动查杀

    文件MD5:e98a4571cf72b798077d12d6c4894629 行为分析:1.拷贝文件: C:\windows\system32\diskregerl.exe  45,056 字节 2.无添加启动项举动. 3.释放2个批处理: 内容分别为: 22483 17213 25187 6133 22690 25373 date 2004-08-17 19477 time 20:00:00 ping 127.0.0.1 -n 5 sc.exe create diskregerl BinPat

  • RAVFY.EXE,RAVWL.EXE,msdebug.dll,Servere.exe等的清除指南附SREng.EXE PowerRmv.com unlocker1.8.5.exe打

    本文的眼:注意这几个文件名RAVFY.EXE,RAVWL.EXE,msdebug.dll相当有迷惑性 一.提问:http://zhidao.baidu.com/question/23973092.html 二.分析: 1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.  清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内

  • python定时检查启动某个exe程序适合检测exe是否挂了

    详见代码如下: 复制代码 代码如下: import threading import time import os import subprocess def get_process_count(imagename): p = os.popen('tasklist /FI "IMAGENAME eq %s"' % imagename) return p.read().count(imagename) def timer_start(): t = threading.Timer(120,

  • U盘病毒vistaAA.exe的手动查杀方法

    Modified: 2008年5月8日, 18:52:32 MD5: 7009AC302C6D2C6AADEDE0D490D5D843 SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E CRC32: DCE5AE5A 病毒运行后: 1.释放一个sbl.sys到%system32%\drivers下面,并拷贝一份覆盖beep.sys,之后加载该驱动,恢复SSDT钩子,导致某些杀毒软件的主动防御功能失效. 2.结束很多杀毒软件和安全工具的进程 诸如: Qu

  • bsmain.exe 瑞星仇恨者查杀方法

    病毒具体分析如下: Quote: File: bsmain.exe Size: 131072 bytes File Version: 20.00 Modified: 2008年3月7日, 22:18:04 MD5: 1EFE96D8D20513351DB5C1681D7BBAFE SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D 1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:\Program Files\Rising\Rav\update\

  • Kvmon.exe远程控制病毒清除指南

    AV命名: 金山毒霸(Win32.Troj.Unknown.a.412826) AVG(Generic9.AQHK) 安博士V3(Win-Trojan/Hupigon.Gen) 加壳方式:未 编写语言:Delphi 文件MD5:a79d8dddadc172915a3603700f00df8c 病毒类型:远程控制 行为分析: 1.  释放病毒文件: C:\WINDOWS\Kvmon.dll  361984 字节 C:\WINDOWS\Kvmon.exe  412829 字节 2.  修改注册表,开

  • u盘病毒清除 Discovery.exe查杀方法

    这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意. Quote: File: Discovery.exe Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件: Quote: %syst

随机推荐