水牛(shuiniu.exe)手工查杀方法不用专杀工具

这是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其发现和删除更加困难,因其主文件名“ShuiNiu.exe”,因此称病毒为“水牛”病毒。

Quote:
File: ShuiNiu.exe
Size: 22069 bytes
Modified: 2007年11月5日, 10:13:38
MD5: 1FA97A5E1766D6E668321838A6F3E536
SHA1: 94388083FB1CDD3003FE13046BC817AB0F6D7FD0
CRC32: 1D66BFAB

技术细节:

1.病毒运行后,释放如下副本:
%systemroot%\system32\ShuiNiu.exe

并向可移动存储中写入ShuiNiu.exe和autorun.inf达到通过U盘等移动存储传播的目的

2.调用Cmd,把系统时间改为2005-10-31

3.删除如下键
SYSTEM\CurrentControlSet\Control\SafeBoot\MinimalSYSTEM\ControlSet001\Control\SafeBoot\NetworkSYSTEM\ControlSet001\Control\SafeBoot\Minimal\

破坏安全模式

4.添加映像劫持项目劫持一些安全软件到

%systemroot%\system32\ShuiNiu.exe

Code:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exeKPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
WoptiClean.exe

5.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下面添加

<DsNiu><%systemroot%\system32\ShuiNiu.exe> []

的启动项目达到开机启动的目的

6.启动IE下载
http://www.huigui.org/UpFile/UpFace/bak.exe

但连接已失效

7.病毒运行后释放~DsNiu!.bat 删除自身

8.之后的动作也是病毒比较毒辣的一点,当完成上述这些动作后,病毒会启动两个svchost.exe,并将自身的病毒代码写入这两个svchost.exe进程之中,之后ShuiNiu.exe退出进程。
这两个svchost.exe会互相监视对方,且此时的ShuiNiu.exe也无法删除 ...

9.病毒体内有文字“FUCK YOU”

  手动解决办法:

下载sreng和Xdelbox

  1.解压Xdelbox压缩包内所有文件到一个文件夹,在 添加旁边的框中 分别输入c:\windows\system32\ShuiNiu.exe

  输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中,然后一次性选中 (按住ctrl)下面大框中所有的文件,右键 单击 点击 重启立即删除

  2.重启后,打开sreng

  启动项目 注册表 删除如下项目 
  <DsNiu><%systemroot%\system32\ShuiNiu.exe> []

  并删除所有红色的IFEO劫持项目

  还是sreng中,系统修复-高级修复-修复安全模式

  3.最后把系统时间改正确

(0)

相关推荐

  • 水牛(shuiniu.exe)手工查杀方法不用专杀工具

    这是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其发现和删除更加困难,因其主文件名"ShuiNiu.exe",因此称病毒为"水牛"病毒. Quote: File: ShuiNiu.exe Size: 22069 bytes Modified: 2007年11月5日, 10:13:38 MD5: 1FA97A5E1766D6E668321838A6F3E536 SHA1: 943

  • 对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具

    病毒症状: 杀毒软件被禁用.隐藏文件无法显示.开始命令msconfig无法运行.很多辅助软件也无法运行,运行EXE以及SCR 文件后被病毒的感染 手动查杀用到的软件: SRENG软件以及XDELBOX软件 Quote: 病毒名称:Trojan-Downloader.Win32.Agent.**** 病毒类型:木马 病毒MD5:2ccd81d7d358778b11de9303e0097d2d 加壳类型:UPX 编写语言:Borland Delphi 6.0 - 7.0 病毒运行 生成进程: Cod

  • HDM.exe手工查杀U盘病毒的方法

    HDM.exe手工查杀U盘病毒的方法

    HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面: Quote: 1.使用恢复SSDT的方式破坏杀毒软件 2.IFEO映像劫持 3.关闭指定窗口 4.删除gho文件 5.破坏安全模式,以及显示隐藏文件功能 6.感染htm等网页文件 7.猜测密码通过局域网传播 8.通过U盘等移动存储传播 9.arp欺骗 具体分析如下: Quote: File: HDM.exe Size: 13312 bytes Modified: 2007年11月28日, 16:52:08 MD5: 7E

  • 关于近来网上大量泛滥的灰鸽子病毒(Huigezi、Gpigeon)介绍和查杀大全附专杀工具

    转自原论坛 jakee 的帖子: 近来很多网友反映他们的机器中了一种叫做灰鸽子的木马病毒,这种病毒很是顽劣,在不同杀软上有不同名称比如:Gpigeon.Huigezi.Feutel,在计算机中清除它很是费事,特别是其刚刚开发出的2005,通过截取windows系统的API实现了程序文件隐藏.进程隐藏,服务隐藏三个隐藏,一般杀软在正常模式下根本就找不到其病毒文件,更别提查杀了的事情了,连杀软都很难对付,对用户而言更是头痛了,本文简单介绍了灰鸽子病毒的运行原理,手工检测方法.手工清除方法.防止感染的

  • MY123病毒清除方法,专杀工具下载

    近期爆发的恶性病毒?比上次普遍感染的"sxs.exe病毒"更夸张,并且已经从流氓软件的范畴变身为病毒了. 病毒现象: IE 浏览器首页无法改变,被修改为 www.my123.com , 或自动跳转到 7255 . 手动清除方法非常烦琐,并且目前依然不停有变种出来,所以一般用户还是尝试用专杀工具吧 MY123.com 病毒专杀工具 目前许多工具已经针对此病毒发布了最新的专杀工具,已经可以比较方便的删除它了,并且杀毒厂商也关注起来,病毒变种虽然变的快,相信专杀工具也出的不会太晚,请关注下面

  • 解决http://16a.us/2.js之arp欺骗的方法附专杀工具

    公司局域网访问所有页面都加上了<script src=http://16a.us/2.js></script>代码, 这次是客户端打开的所有网页,故可排除是服务器环境遭遇arp欺骗,综合网上各方意见,得出结论:本地网关或dns被劫持,修复本地连接后故障消除. 根本解决方法,绑定网关mac地址,方法为: 命令行输入arp -s 网关IP 网关MAC 关于网关MAC,可使用arp命令查询. 如果是dns被劫持,则更改dns服务器. 关于js加密解密的两篇文章,想研究上面病毒脚本的朋友可

  • visin.exe病毒的手动清除方法,专杀都不要了

    病毒描述: 名称:visin 路径:C:\windows\system32\visin.exe 出品公司:Microsoft Corporation 行为描述:新增系统启动项 位置:HKEY lOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run 注册表:HKEY lOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ex

  • 用vbs实现7y7.us木马群的专杀工具 下载

    增加屏蔽:   16a.us     www.nice8.org     更新对新的木马的查杀,修改结束进程模块. 本来这个专杀只是玩VBS时做的一个拙品,但是看到有人还在提醒我木马群更新,专杀杀不干净的时候我就又再次更新了.需要的朋友就继续关注这里的更新吧.送佛送到西.... vbs文件 复制代码 代码如下: on error resume next msgbox "本专杀由[G-AVR]Gryesign提供,请关注BLOG及时更新专杀---http://hi.baidu.com/greysi

  • Autorun随机7位字母命名的病毒专杀工具

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>七位字母命名的病毒专杀工具</tit

  • shualai.exe病毒及手工查杀方法

    这是个利用ANI漏洞传播的木马群,其"动态插入进程"的功能是导致中招后杀毒困难的原因之一. 另:中招后,系统分区以外的.exe全被感染.这也是中此毒后的麻烦之处. 中招后的"症状":进程列表中可见shualai.exe进程. 建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作. 手工查杀流程如下(用IceSword操作): 1.禁止进程创建. 2.根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪

随机推荐