华夏联盟

如果你是一个初学者你也可以来我们这里,我们这里的电脑安全,防护是所有网络安全培训的门户站中最好的地方,我们有着各种教学方式,我们的技术不会隐藏起来,我们会把我们的所有都教给你们,让中国又多一位网络安全的人才。如果你是高手我们更加希望你的加入,因为我们需要你,因为我们华夏联盟的都是专业人士,没有任何会低于其他人,只要有你的加入,我们会更加强大,华夏联盟有你才会精彩,请永远记住我们-华夏联盟论坛。


您没有登录。 请登录注册

征途旗帜图标木马—***SS.EXE(病毒分析及杀毒技巧)

向下  留言 [第1页/共1页]

Admin


Admin
 病毒名称:征途旗帜图标木马——***SS.EXE

  据说有新的“变态”木马,***SS.EXE

  主程序:%Windows%\***SS.EXE

  图 标:征途旗帜图标

  明显现象:双击无法打开硬盘分区且右击硬盘分区有“自动播放选项”

  文件:

  %Windows%\1.com

  %Windows%\ExERoute.exe(EXE关联)

  %Windows%\explorer.com

  %Windows%\finder.com

  %Windows%\***SS.EXE

  %Windows%\BOOT.BIN.BAK

  %Windows%\Debug\DebugProgram.exe

  %Windows%\Debug\PASSWD.LOG

  %System%\command.pif

  %System%\dxdiag.com

  %System%\finder.com

  %System%\MSCONFIG.COM

  %System%\regedit.com

  %System%\rundll32.com

  %ProgramFiles%\Internet Explorer\iexplore.com

  %ProgramFiles%\Common Files\iexplore.pif

  D:\autorun.inf

  D:\pagefile.pif

  创建的启动项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "TProgram"="%Windows%\***SS.EXE"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

  "TProgram"="%Windows%\***SS.EXE"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  "Shell"="Explorer.exe 1"

  修改了EXE关联到:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

  干掉对手:

  TROJDIE*

  R***MON.EXE

  KPOP*

  *ASSISTSE*

  KPFW*

  AGENTSVR*

  KREG*

  IEFIND*

  IPARMOR*

  SVI.EXE

  UPHC*

  RULEWIZE*

  FYGT*

  RFWSRV*

  RFWMA*

  清除方法之一……

  1. 运行Procexp.exe和SREng.exe

  2. 用ProceXP结束%Windows%\***SS.EXE进程,注意路径和图标

  3. 用SREng恢复EXE文件关联

  1,2,3步要注意顺序,不要颠倒。

  4. 可以删除文件和启动项了……

  删除的启动项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "TProgram"="%Windows%\***SS.EXE"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

  "TProgram"="%Windows%\***SS.EXE"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  "Shell"="Explorer.exe 1"

  修改为:

  "Shell"="Explorer.exe"

  删除的文件就是一开始说的那些,别删错就行。

  5. 最后打开注册表编辑器,恢复被修改的信息:

  查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;

  查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;

  查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;

  查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。

  这些主要是在以下几个位置:

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet

  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown

  HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

查阅用户资料 http://hxhack.6d7d.net

返回页首  留言 [第1页/共1页]

您在这个论坛的权限:
不能在这个论坛回复主题