bsmain.exe 瑞星仇恨者查杀方法

病毒具体分析如下:

Quote:
File: bsmain.exe
Size: 131072 bytes
File Version: 20.00
Modified: 2008年3月7日, 22:18:04
MD5: 1EFE96D8D20513351DB5C1681D7BBAFE
SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D

1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:\Program Files\Rising\Rav\update\setup.exe,如果找不到则在注册表中查找SOFTWARE\rising\Rav键,并利用RegQueryValueEx函数获得该键下面的installpath信息,即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\Setup.exe的卸载程序,成功启动后,会查找类名为Button,窗口为卸载(&U)的窗口,然后PostMessage发送消息,接着查找名为“下一步(&N)”的窗口,再PostMessage模拟用户按键发送消息,这样就完成了模拟卸载的过程。

2.释放如下文件或者副本:
C:\Windows\system32\bsmain.exe(病毒文件)
不断的遍历A-Z盘 查找可移动存储设备,如果有则在其中生成bsmain.exe和autorun.inf达到随移动存储传播的目的。

3.在注册表中添加如下启动项目

Quote:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的
  [Beijing Rising Technology Co., Ltd.]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
      [Beijing Rising Technology Co., Ltd.]

以此达到开机启动自身的目的

4.添加映像劫持项目劫持如下常见杀毒软件

Quote:
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
ArSwp.exe
AST.exe
autoruns.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
ccSvcHst.exe
ceSword.exe
EGHOST.exe
FileDsty.exe
FTCleanerShell.exe
FYFireWall.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
Navapsvc.exe
Navapw32.exe
nod32.exe
nod32krn.exe
nod32kui.exe
NPFMntor.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQDoctor.exe
QQKav.exe
Ras.exe
RsAgent.exe
Rsaupd.exe
rstrui.exe
runiep.exe
safelive.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
upiea.exe
UpLive.exe
USBCleaner.exe
vsstat.exe
webscanx.exe
WoptiClean.exe

劫持到C:\Windows\system32\bsmain.exe

5.遍历非系统分区,覆盖感染exe文件,被感染的文件无法修复。由于病毒本体采用瑞星杀毒软件的图标,所以被感染的文件也全变成瑞星杀毒软件的模样...

6.修改txt文件关联指向C:\Windows\system32\bsmain.exe

解决办法:

下载sreng:

1.打开sreng,启动项目  注册表 删除如下项目 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的
  [Beijing Rising Technology Co., Ltd.]

把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
shell值改为explorer.exe

并删除所有红色的IFEO项目

系统修复-文件关联 点击修复

2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\bsmain.exe

3.对于被覆盖感染的exe文件,就只能全部删除了...默哀吧...

(0)

相关推荐

  • bsmain.exe 瑞星仇恨者查杀方法

    病毒具体分析如下: Quote: File: bsmain.exe Size: 131072 bytes File Version: 20.00 Modified: 2008年3月7日, 22:18:04 MD5: 1EFE96D8D20513351DB5C1681D7BBAFE SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D 1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:\Program Files\Rising\Rav\update\

  • shualai.exe病毒及手工查杀方法

    这是个利用ANI漏洞传播的木马群,其"动态插入进程"的功能是导致中招后杀毒困难的原因之一. 另:中招后,系统分区以外的.exe全被感染.这也是中此毒后的麻烦之处. 中招后的"症状":进程列表中可见shualai.exe进程. 建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作. 手工查杀流程如下(用IceSword操作): 1.禁止进程创建. 2.根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪

  • RAV0088.exe RAV0088.DAT手工查杀方法

    病毒名称:N/A(Kaspersky) 病毒别名:Win32.Troj.OnLineGamesT.cu.65536 [dll](毒霸) 病毒大小:9,420 字节 加壳方式:PE_Patch UPack 样本MD5:e14c15ece526b8dea5347b1bdad8afe0 样本SHA1:31bd81eaf9182e9f87a9c2df55fa748a8c1ce0ad 发现时间:2007.8 更新时间:2007.8 关联病毒: 传播方式:通过恶意网站传播,其它木马下载 技术分析 =====

  • md9.exe scvhost.exe 只木马下载者查杀方法

    从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

  • 最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法

    通过u盘传播的病毒sxs.exe威力向来很大,曾经n个计算机被他搞垮~~其变种也日益翻新,花样白出~~机房电脑又中毒了...各盘符下有隐藏的文件,图标是柯南头像的sxs.exe及autorun,病毒系统进xeklsk.exe. 通过文件夹选项不能显示隐藏文件. 经过反复查找,此病毒乃最新变种,网上给出查杀方法的很少~现提供如下,仅作参考: ---- 解决方案: ***提示:杀毒过程中注意盘符不要双击,点鼠标右键"打开"!*** 1.结束进程xeklsk.exe,sxs.exe及其他可疑

  • 威金变种病毒的查杀方法

    近来,威金变种病毒肆虐,不少人中招后被迫格式化所有分区,苦心保存的数据毁于一旦. 中了这种病毒的特征是:系统响应缓慢,玩网络游戏时会自动退出,硬盘里的EXE文件图标会变"花":到dos下用ghost恢复系统失败:如果不全盘格式化,重装系统也不能解决问题. 今天有幸遇到感染此种病毒的电脑,在机主几乎绝望的情况下清除了病毒,挽救了他多年积累的数据. 现在,偶把此次杀毒的过程贴上来,供遇到类似问题的网友参考. 清除病毒的步骤如下: 一.结束病毒进程,删除病毒的启动项. 1.开机按F8键,进安

  • u盘病毒清除 Discovery.exe查杀方法

    这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意. Quote: File: Discovery.exe Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件: Quote: %syst

  • wowexec.exe比较简单的查杀办法(毒霸就是wowexec.exe专杀工具)

    注意:wowexec.exe是系统进程,但是如果前面带一个空格,就是病毒.wowexec.exe病毒解决办法: 1.下载毒霸,并升级到最新病毒库,进入安全模式,关闭系统还原,查杀该病毒,下载地址::http://www.duba.net,避免感染病毒变种,引起文件或照片被破会: 一般第一步就可解决问题,建议大家安装360,这样对于添加注册表运行的功能就没有了,下面的操作也就不必要了.2.删除病毒的注册表键值,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window

  • 病毒的万能查杀方法第1/2页

    发现病毒,无法清除怎么办? Q:发现病毒,但是无论在安全模式还是Windows下都无法清除怎么办? A:由于某些目录和文件的特殊性,无法直接清除(包括安全模式下杀毒等一些方式杀毒),而需要某些特殊手段清除的带毒文件.以下所说的目录均包含其下面的子目录. 1.带毒文件在\Temporary Internet Files目录下. 由于这个目录下的文件,Windows会对此有一定的保护作用(未经证实).所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然

  • 美女游戏病毒iwbkvd.exe查杀方法

    按下F8進入安全模式. 一,運行PowerRmv,點擊"鎖定目標"在路徑c:\winnt\system32或者c:\windows\system32下找到severe.exe的文件,進行殺滅.iwbkvd.exe同樣.powerrmv網上有得下,您可以下載一個. 二,使用卡卡的IE修復功能進行IE修復 三,使用卡卡的啟動項管理功能查看病毒的登陸項進行刪除,并找到對應的病毒程序文件進行清除. 四,使用卡卡的啟動項管理功能查看病毒的應用程式劫持項進行刪除. 五,使用SREng修復系統的文件

随机推荐