“禽兽”病毒(杀软终结者)的分析和手动解决方法图文第1/2页

最近有很多人中了这个“禽兽”病毒,之所以叫做“禽兽”病毒是因为病毒运行后,文件夹选项中隐藏文件的文字内容被修改成了“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。”

这个病毒其实就是原先分析的niu.exe的变种,不过此次变种变化巨大 增加了很多新的“功能”,中毒者在禽兽病毒和其他一些木马的“帮助”下 系统将完全处于无保护的状态.在没有任何工具的情况下 救活系统的可能性几乎为0

  此病毒的几大罪状如下:
  1.破坏安全模式 禁用系统的一些自我保护功能(自动更新,防火墙等)
  2.IFEO映像劫持杀毒软件以及常用安全工具
  3.禁用任务管理器
  4.修改主页
  5.关闭带有“杀毒”等字样的窗口
  6.感染html等网页文件
  7.删除gho文件,使用户无法还原系统
  8.U盘传播
  9.疯狂下载多种木马和流氓软件(多达20多种木马)

  下面是病毒的具体分析

1.释放如下文件:
%system32%\crsss.exe
在每个分区下面生成autorun.inf 和niu.exe
2.调用reg.exe进行如下操作:

添加自身启动项目
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D

禁用windows自动更新
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f

禁用任务管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f

破坏显示隐藏文件 并将选项名称改为“禽兽尚且有半点怜悯之心,而我一点没有,
所以我不是禽兽”
delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽. /f
破坏安全模式
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持项目指向%system32%\crsss.exe(篇幅所限,仅贴图)

当前1/2页 12下一页阅读全文

(0)

相关推荐

  • “禽兽”病毒(杀软终结者)的分析和手动解决方法图文第1/2页

    “禽兽”病毒(杀软终结者)的分析和手动解决方法图文第1/2页

    最近有很多人中了这个"禽兽"病毒,之所以叫做"禽兽"病毒是因为病毒运行后,文件夹选项中隐藏文件的文字内容被修改成了"禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽." 这个病毒其实就是原先分析的niu.exe的变种,不过此次变种变化巨大 增加了很多新的"功能",中毒者在禽兽病毒和其他一些木马的"帮助"下 系统将完全处于无保护的状态.在没有任何工具的情况下 救活系统的可能性几乎为0 此病毒的几大罪状如下

  • 病毒后门(datmps.dll)手动解决方法

    主要行为: 1.释放文件: C:\Windows\System32\datmps.dll 21,984 byte C:\Windows\System32\wlite.sys 8,816 bytes 2.添加启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps] DllName = 64 61 74 6D 70 73 2E 64 6C 6C 00 00 Startup

  • EXPLORER.EXE病毒手动解决方法

    行为: 1.释放文件: C:\WINDOWS\system\SERVICES.EXE  65536 字节 C:\WINDOWS\system\SYSANALYSIS.EXE  65536 字节 C:\WINDOWS\system\explorer.exe 976896 字节 2.删除备份文件: C:\WINDOWS\system32\dllcache\explorer.exe 3.覆盖系统文件:C:\WINDOWS\explorer.exe 系统启动时先执行病毒体,再执行C:\WINDOWS\s

  • 主页被改为ww.94ak.com的手动解决方法参考

    使用费尔木马强力清除助手(可到down.45it.com下载)删除以下文件: c:\program files\internet explorer\iexplore32.sys c:\program files\internet explorer\plugins\wn_sys8x.sys c:\windows\downloaded program files\ichatx.dll 2.删除后,使用SREng(可到down.45it.com下载)修复下面各项: 系统修复-- 浏览器加载项之如下项删

  • MongoDB最大连接数设置失效的异常分析过程与解决方法

    背景介绍: 查询MongoDB配置参数,可以知道关于最大连接数的参数是maxConns.但是连接实例后,查看支持的最大连接数,还是默认的819. 说明:最大连接数是由maxConn (maxIncomingConnections)和操作系统单个进程能打开的最大文件描述符数总量的80%决定的,取两个之间的最小值.默认单个进程能打开的最大文件描述符数为1024,1024*80% = 819.2 取整数819.所以最大可以支持的并发连接数为819. 案例重现 以下为本次测试MongoDB案例配置的参数

  • rpmsvc.exe,image11.zipMSN蠕虫病毒手动删除方法

    最近网站挂马比较验证,我的电脑的也超卡,建议大家下360safe,文件名称:image.JPG-www.photobucket.com 文件大小:10752 bytes  AV命名:(暂无,哈哈``因为全部过了``) 加壳方式:未知 编写语言:Delphi 病毒类型:IRCBot 文件MD5:0e404cb8b010273ef085afe9c90e8de1 行为: 1.释放病毒副本: %Systemroot%\system32\rpmsvc.exe    10752 字节 C:\Document

  • AngularJS报错$apply already in progress的解决方法分析

    本文实例分析了AngularJS报错$apply already in progress的解决方法.分享给大家供大家参考,具体如下: 如果我们使用了AngularJS中的$scope.$apply()或者$scope.$digest(),我们很可能会遇到类似下面的错误,虽然这个错误没有太大影响,但是在日志中看起来还是很不爽的,日志中记录的异常或者错误,就应该是需要关注和解决的问题,否则就没有必要出现在日志中了. Error: [$rootScope:inprog] $apply already

  • tomcat在opensuse下开机自启失败的原因分析及解决方法

    环境•opensuse 10.2•tomcat 5.5 设置信息在/etc/init.d/boot.local中添加如下命令:/opt/tomcat/bin/startup.sh 错误描述opensuse启动完毕后,tomcat一直没启动. 分析1. 系统启动完毕后,手动启动tomcat可以成功,说明不是权限的问题.2. 查找系统日志(/var/log/boot.msg),找到了如下信息: Neither the JAVA_HOME nor the JRE_HOME environment va

  • sxs.exe病毒删除完美解决方法

    方法一: 可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有SES.EXE文件 如果是的话 那么中的是修改过的ROSE病毒解决方法是这样的:在安全模式下进行手动杀毒,另外,我在注册表里,手动搜索与病毒有关的文件:sxs.exe.svohost.autorun.inf,找到后全删,把每个盘符的都删掉,然后顺安全模式下运行杀毒软件,就OK了 . 手工处理如下:任务管理器可以结束SXS的进程删除,记住,用鼠标右键进入硬盘 同时按下Ctrl+Shift+Esc三个键 打开wind

  • chenzi.exe的分析及解决方法

    File size: 18593 bytes  MD5: c595bc161e1d64b4d8f4d84139ef02b0  SHA1: 100e8a9ae7034b41443e4ddaa46f175adb70eb06  病毒名称:未知 测试时间:2007-3-10 更新时间:明晚将更新此分析日志, 运行后病毒样本,自动删除病毒本身,自动释放病毒到%system%目录下 %system%\del.bat %system%\msgcom.dll %system%\1.exe %system%\2.

随机推荐