请问中了绿化病毒该怎么办啊？

ethin

请问中了绿化病毒该怎么办啊？有没有专杀工具呢？谢谢哦，在线等

llj4862

http://www.0xy.cn/read.php?tid=109508

156200

什么是绿化病毒？

ethin

2楼的方法不太好呢，我试过了，效果不佳

ethin

这是一个具有多种传播功能和反杀毒软件功能的下载者病毒，传播方式新颖独特，需要严密防范！
下面是该病毒的详细分析报告：
病毒初始化过程：
1.创建一个互斥量：中华吸血鬼2.2
2.删除SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
3.释放如下副本或文件：
%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll
4.之后创建很多线程，执行多种病毒功能：
(1)通过GetWindowTextA函数获得窗口标题，并比较是否含有如下字样
worm
卡巴斯基
江民
金山
Anti
anti
Virus
virus
Firewall
Mcafee
查杀
主动防御
微点
系统保护
主 动
主动
杀马
木马
上报
举 报
举报
进 程
进程
系统安全
Process
NOD32
专 杀
专 杀
专杀
安全卫士
绿鹰
...
如果含有则使用PostMessage函数会发送消息给他们：
首先发送一个WM_Destroy，之后发送两个WM_Close 最后发一个WM_Destroy 的消息。并把窗口标题名保存下来。
之后会调用Messageboxa函数弹出一个标题为"Windows盗版验证为"的窗口
并显示如下字样“安全提示：您正在使用的(刚刚获得的窗口标题名称)是盗版软件，可能您是盗版软件的受害者，为了给合法用户提供保证，我们无法继续给您提供服务，请到指定销售商购买我们的正版软件,如果有任何疑问,请到我们微软主页查看http://www.microsoft.com”
(2) 破坏冰刃
查找类名为Afxcontrolbar423s的窗口
然后发送WM_Close关闭 再模拟键盘输入按一下回车键
(3) U盘传播功能
检测可移动存储中是否有autorun.inf文件，如果有将其改名
之后向里面写入autorun.inf
创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹，在该文件夹内写入GHOSTBAK.exe（病毒文件）
(4) 病毒感染统计
搜集被感染主机的mac地址，并把被感染主机的mac地址和感染的病毒版本发送给http://www.*******.cn/tj/ct.asp页面
(5) 修改hosts文件
获得%programfiles%的环境变量，接着查找\\drivers\etc\\hosts文件
写入如下数据：
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1www.qihoo.com
127.0.0.1www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92
127.0.0.1www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1www.cnnod32.cn
127.0.0.1www.lanniao.org
127.0.0.1www.nod32club.com
127.0.0.1www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1www.jiangmin.com
127.0.0.1www.duba.net
127.0.0.1www.eset.com.cn
127.0.0.1www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1www.360.cn
127.0.0.1www.360safe.cn
127.0.0.1www.360safe.com
127.0.0.1www.chinakv.com
127.0.0.1www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
每1秒循环一次
(6) 遍历进程，调用Terminate Process函数结束如下进程：
AST.exe
360tray.exe
ast.exe
FWMon.exe
(7) 遍历磁盘文件删除扩展名为gho,GHO,Gho的文件
(8) arp欺骗功能
获取本机IP地址 然后把所在同网段内的.2~.255的机器作为欺骗对象
由系统目录下的arps.com执行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 对局域网内机器进行arp欺骗


(9) 局域网弱密码猜解传播
以administrator为用户名，对局域网中其他机器进行密码猜解。如果成功则复制到对方机器的共享的C,D,E,F盘中，以hackshen.exe
病毒猜解的密码字典如下：
woaini
baby
asdf
NULL
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
hack
xpuser
money
yeah
time
game
user
home
alex
guest
admin
test
administrator
movie
root
love
(10)删除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings键
释放一个hackchen.vbs到%systemroot%\Tasks
hackchen.vbs内容：
On Error Resume Next
Set rs=createObject("Wｓｃｒｉｐｔ.shell")
rs.run "%windir%\Tasks\csrss.exe",0
并且注册HKLM\SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
指向%systemroot%\Tasks\hackchen.vbs
(11)
病毒自动更新功能。在系统目录下释放meupdate.ini文件，并且和http://www.*******.cn/22.txt做比较，如果不同则下载http://www.*******.cn/server.exe（最新版病毒程序）到c:\_default.pif，并且每600ms执行一次


(12)通过查找%ProgramFiles%的环境变量获得程序文件夹路径，之后查找\\WinRAR\\Rar.exe获得winrar安装路径。
遍历所有分区的.rar,.zip,.tgz,.cab,.tar文件 找到后
后台调用winrar执行"（winrar路径）" -ep a "（找到的rar等文件路径）" %systemroot%\Tasks\绿化.bat 命令
将绿化.bat压缩进压缩包，绿化.bat即为病毒本身，诱使用户点击中毒。
(13)（此方法十分新颖）
遍历所有文件夹并且将%systemroot%\Tasks\wsock32.dll 复制到每个文件夹下
当该文件夹下的exe文件的导入表含有wsock32.dll的时候，会首先调用同文件夹下的wsock32.dll，也就是病毒释放的文件。此时会从下载http://www.*******.cn/server.exe（病毒最新版本）并执行！！！
(14)
查找某些类名为770的窗口，并且试图发送"我做了快一个月了,每天2个小时有40-50元的收入,你也来看看吧,长期大量招聘网络兼职http://www.*******.cn/jianzhi.htm"的消息给对方(应该是通过QQ之类的聊天工具传播)
(15) 遍历非系统分区的html,aspx，htm等文件 写入iframe代码


(16)下载木马功能
下载http://www.*******.cn/ft/qq.exe
http://www.*******.cn/cj/qq.exe
并执行

zqmm100

何谓绿化病毒。。。

kuysoft

有时候绿化病毒不是别的，就是把你主页给改了，把bat文件删除即可。再把主页改回来

llzy3575

什么病毒？

烨鑫

中华吸血鬼,现在的是2.2版本的变异版本,其原理是在系统文件夹生成3个程序,查询原有AUTORUN.INF,在其内部新建AUTORUN.INF,达到鼠标双击哪里,病毒运行到哪里的目的,只要你对某文件有写入权限,所浏览文件中毒无疑!
其会在注册表写入国内外著名杀软禁用值,阻止大部分杀软运行(大概有100条值)!只要联网,会在360毫秒内更新新病毒数据并下载常规木马,例如机器狗等

处理方法对中毒非深者适用,中毒已深,重装吧,然后无其他操作直接全盘杀毒)
对于初中毒者,先建议用机器狗杀毒工具,查杀,有杀软的如未被禁用,执行杀毒程序.推荐使用诺顿,费尔托斯(主要是这个,其有注册表监控),其他杀软我未试过!比特梵德,AVG如果你有的话,可以安装适用,大蜘蛛也推荐,毕竟我不信这家伙能通天!

如果当前杀软被禁用,卸载并重新安装,执行杀毒!具体操作方法,请参看网络其他介绍,对于新手,不建议修改系统文件!(病毒拥有机器狗的功能,熊猫烧香的威力)
就算不重装,杀完了以后,系统文件也会损失大半!中毒中期杀毒成功后,登陆不了是正常的事情!

这个病毒还会在电脑上未加密的RAR和ZIP的压缩包内,内挂一个绿化.BAT文件,敬告!!呵呵
很棘手的!

总之,推荐方法

1,重装,然后鼠标别乱动,打开文件也要右键开启,直接执行杀毒程序
2,用现有杀毒软件执行,最好推荐国外杀软,并在国内应用未普及杀软,后安装也可!例如比特梵德等(这个要破解的),还有AVG,大蜘蛛,小红伞
3,用PE光盘系统进入,删除相应的病毒文件,再装杀毒软件进入系统查杀.最后最好再用系统盘修复下系统
4,手工杀毒,安全模式下清理所有文件夹下的wsock32.dll，
并利用工具清理%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
并打开所有压缩包文件 删除里面的绿化.bat。
最后使用杀毒软件全盘杀毒
5,如果已继续中了机器狗,

ice4u

天，这个病毒很棘手啊看来