查看: 8335|回复: 21
收起左侧

七、八位字母virus的清除方法&常用工具下载

[复制链接]
xffsfy
发表于 2007-5-24 19:41:24 | 显示全部楼层 |阅读模式
以下内容转载自http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5e46f4b4943b8b728ad4b271.html,原帖作者享有版权。
PS:七位的也可以看看,当中也有七位病毒,为了尊重版权,对原文仅修改了一个错别字而已。文中所有winnt文件夹在XP系统中为windows文件夹。
小白先看后面那段文字,修复映像劫持。或者利用附件中的Autoruns工具修复。然后再开杀软尝试清除

病毒信息:
File size: 35708 bytes
MD5: 53339692763657ccceec545cbdca78c3
SHA1: 88764194e3f12edbc9dfa7b3c59690a2fbd455f4

========================================
(运行病毒,是个8位随机字母)行为:
%systemroot%\system\下释放三个8位随机字母(A-Z).exe,是木马下载器,下载一大推乱乱D东西,乱七八糟的,乱插进程。一片狼藉...(还有个是meex.com)
下载下来的木马群是EXE,在%windir%下,加入注册表RUN启动项,每个都释放一个同名的DLL,插进程
遍历分区在所有分区下生成autorun.inf和7位随机字母病毒(EXE),达到U盘传播和双击分区激活病毒的效果.
还利用了比较古老的技术-进程守护,2个病毒进程"相濡以沫"(讽刺下),其中一个病毒被结束的话,另一个马上将其启动生成,并调用net.exe使用stop SharedAccess命令关闭共享连接和防火墙服务(察觉到危险)。
使用IFEO重定向劫持,几乎所有安全工具都遭到劫持。。
(小提示:对于安全工具,我们先改名再运行)
下载在%systemroot%\system\其中一个病毒(8位随机字母)隔60秒检测网络连接,并下载病毒,下载的病毒有例如TDown9.exe名字的,然后释放一些乱七八糟的东西
=========================================
解决方法:
(这种病毒太值得B4了,没有测试清除方法,对方抓药的,如果没有成功的话,请告诉我)
操作前全面清理临时文件(尽量用软件清理),关闭一切不必要的进程,断开网络
下载的工具有:
冰刃、SREng、PowerRMV 、autoruns
http://free.ys168.com/?gudugengkekao这里下载(乱乱的,懒的整理- -)
首先打开PowerRMV ,填入:
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
(有几个分区,填几次)和autorun.inf指向的8位随机字母.exe
(填入后PowerRMV不要关闭)
然后运行autoruns(记住!!先把autoruns改名!!!不然又等于激活病毒了,可以改为123.exe等),它会列出所有“镜像劫持的”项目(IFEO),不要嫌麻烦,挨个删。。
删除后打开冰刃,左上角设置,文件-设置-勾选“禁止进线程创建”-确定
结束病毒进程(2个8位字母.exe),然后在冰刃里选项-点“文件”,删除(也可以PowerRMV删除)下面的:
C:\WINNT\system32\8位随机字母.exe(有3个,注意创建日期)
C:\WINNT\system32\meex.com
C:\WINNT\cmdbcs.exe
C:\WINNT\mppds.exe
C:\WINNT\upxdnd.exe
C:\WINNT\system32\cmdbcs.dll
C:\WINNT\system32\mh100.exe
C:\WINNT\system32\mppds.dll
C:\WINNT\system32\RAVWL516.dll
C:\WINNT\system32\ReadDown.txt
C:\WINNT\system32\upxdnd.dll
还有例如TDown1.exe名字的(是木马释放器),都删除掉(可以先看下创建的日期)
然后设置冰刃,去掉"禁止进线程创建",后打开SREng,删除下面注册表:
<exkataj><C:\winnt\system32\cbkdkiw.exe>   []
     <wpqggej><C:\winnt\system32\dnierjk.exe>   []
     <cmdbcs><C:\winnt\cmdbcs.exe>   []
     <mppds><C:\winnt\mppds.exe>   []
     <upxdnd><C:\winnt\upxdnd.exe>   []

服务:
[WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start]
   <C:\DOCUME~1\admin\LOCALS~1\Temp\RAVWL.EXE><N/A>

开始-运行-regedit-查找SysWFGQQ2.dll,有找到的话删除.
修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
值CheckedValue,修改为"1"
然后升级杀软,全盘再扫描下.........
收工..


以下内容非转载
附:常见杀软、清理工具无法正常打开(映像劫持)的解决方法

将注册表编辑器(C:\WINDOWS\regedit.exe)文件重命名(比如111.exe)后双击打开(不知道冰刃和Registry Workshop能不能正常使用 ),定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],若存在以下项目则删除

cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
avp.com
avp.exe
adam.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
NOD32.exe
PFW.exe
PFWLiveUpdate.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe

regedit.com
regedt32.exe
runiep.exe
SREng.EXE
TrojDie.kxp
WoptiClean.exe

删除之后别忘了把注册表编辑器改回regedit.exe
PS:如果发现还有不能运行的正常程序,就可以在这里找找有没有程序文件名,有的话就删除


附件当中有常用DIY工具

中了此毒的坛友麻烦将SRE扫描日志和病毒样本传上来,方便大家研究。在此先XXL



[ 本帖最后由 xffsfy 于 2007-5-31 20:07 编辑 ]

KillBox.rar

30.22 KB, 下载次数: 76

强制删除文件

PowerRmv.rar

86.58 KB, 下载次数: 85

强制删除文件

Unlocker 1.8.5.rar

161.66 KB, 下载次数: 74

查看当前文件所属进程

Autoruns 8.61.rar

288.79 KB, 下载次数: 114

启动项检查

System Repair Engineer 2.4.12.806.part1.rar

500 KB, 下载次数: 75

系统检测、修复

System Repair Engineer 2.4.12.806.part2.rar

96.72 KB, 下载次数: 77

IceSword 1.20.part1.rar

500 KB, 下载次数: 65

强制中止任意进程的“冰刃”

IceSword 1.20.part2.rar

500 KB, 下载次数: 73

IceSword 1.20.part3.rar

500 KB, 下载次数: 70

IceSword 1.20.part4.rar

500 KB, 下载次数: 77

IceSword 1.20.part5.rar

111.28 KB, 下载次数: 75

费尔木马强力清除助手.rar

161.27 KB, 下载次数: 108

取自于费尔杀软的木马抑制工具

评分

参与人数 1经验 +1 收起 理由
ALEXBLAIR + 1 感谢支持,欢迎常来: )

查看全部评分

yubin01
发表于 2007-5-24 19:42:13 | 显示全部楼层
谢谢楼主分享。楼主辛苦了!
xffsfy
 楼主| 发表于 2007-5-24 19:58:48 | 显示全部楼层
总算弄完了,累死我了....
xffsfy
 楼主| 发表于 2007-5-25 16:45:02 | 显示全部楼层
  自己顶上去~~~卡巴的求助区N个人都问这个
szk127
发表于 2007-5-25 21:40:54 | 显示全部楼层
好东西,学习了
龙井茶
发表于 2007-5-26 15:16:43 | 显示全部楼层
应该针对这类现象做个专杀.
xiqi_1
发表于 2007-5-26 21:51:27 | 显示全部楼层

太难了~看不懂!

我也中了这种毒,用不了卡巴
xffsfy
 楼主| 发表于 2007-5-27 06:29:29 | 显示全部楼层
原帖由 xiqi_1 于 2007-5-26 21:51 发表
我也中了这种毒,用不了卡巴

先照着下面的方法修复映像劫持
孤狐
发表于 2007-5-27 11:40:14 | 显示全部楼层
谢谢楼主
yksoar
发表于 2007-5-27 14:53:09 | 显示全部楼层
我同学就中了这个毒  谢谢提供
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 11:54 , Processed in 0.143159 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表