随机7位字母恶性u盘病毒手动杀毒教程--水杉の家

:: 信息公告 ::

:: 时间记忆 ::

:: 最新发表 ::

:: 最新回复 ::

:: 最新留言 ::

:: 用户登入 ::

:: 日志搜索 ::

:: 友情链接 ::

:: 博客信息 ::

随机7位字母恶性u盘病毒手动杀毒教程

[ 2007/12/21 11:31:00 |

By: 水杉 ]

给大家做一个随机7位字母恶性u盘病毒手动杀毒教程

字串2

我这次选的样本是 mwtkwro.exe 感谢G-AVR群的 greysign 提供样本。字串9

分2个大部分第一部分为激活病毒查看病毒行为字串3

第二部分手动杀毒全过程

字串8

所选工具有冰刃 IceSword 等。字串9

现在开始
激活 mwtkwro.exe ，生成以下病毒文件
C:\windows\system32\elmiysj.exe
C:\windows\system32\ddtshtk.exe
修改注册表注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   注册表值： ohheopr
      类型: REG_SZ
      值： C:\windows\system32\elmiysj.exe （木马克星检.测到主动删除，我这里选阻止。）
加入开机启动项
IFEO映像劫持开始：dubugger 的值： C:\WINDOWS\system32\elmiysj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FYFireWall.exe 字串6
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe
中间说明这个：病毒检测到.木马克星运行中，ddtskshtk试图终止iparmor.允许后 iparmor 挂掉了。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPF.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webscanx.exe 字串5
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NPFMntor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsstat.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPfwSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe

字串6

系统时间早被改了1980年。。。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
连 autoruns 也.上榜了。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe 字串1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
以下不再一一列出。

字串2

进程：
   路径： C:\WINDOWS\system32\elmiysj.exe
   PID: 576
注册表群组： Services
对象：
   注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
   注册表值： Start
   新的值:
      类型: REG_DWORD
      值： 00000004
   先前值:
      类型: REG_DWORD
      值： 00000002 字串9

劫持很多啊汗～
激活病毒先到这里。字串1

下面开始杀毒。分2个视频.好了，防止出问题。。。字串1

come on 这里加简单文字说明。注意看。开始
运行 ICESWORD ssm提示
父级进程：
   路径： C:\WINDOWS\explorer.exe
   PID: 1620
   信息： Windows Explorer (Microsoft Corporation)
子级进程：
   路径： C:\WINDOWS\system32\ddtshtk.exe
就是映像劫持咯，我们阻止。改名。
好了已经终止了病毒进程用is创建进程规则，禁止这2个。
下载开始删除病毒文件。你所看到的ddtshtk.exe_iparmor 是木马可星将ddtshtk.exe改了名字了，
如果无法删除用冰刃强制.删除，看。方法是这样的。
下面清理系统启动项目
。修复 IFEO 映像劫持
修复 IFEO 映像劫持的批处理之所以能运行，是因为没有劫持 cmd 和regedit。
如果以上都被劫持了可以用 autoruns改名运行。或者 regedit改名运行用系统自带的删除。
清理完毕后，还要修复无法显示隐藏文件的问题和删除每个分区下的病毒。
看来 c盘根目录下没有。
完毕。机器.有点卡老是打错字。sorry。感谢大家观看！
by nhxycfans 字串8

补充忘记说系统时间被改成了 1980年要改回去哦。
还有安全模式被破坏用sreng修复安全模式。
注册表修复，补充工具：金山反间谍2007 隐蔽软件扫描。
清理注册表可以使用 CCleaner 。

字串7

QUOTE:
视频下载地址
part1 http://www.duote.net/30B24F731591724C 字串9

part2 http://www.duote.net/30B24F7315957C4C

字串8

说明：http://www.duote.net/30B24F7315A13A9C
做得不好的地方请大家原谅！昨天处理了 2例随机8位字母和数字组合的，比这个要难处理一点。字串9

随机8位字母和数字组合的，大家可以使用金山毒霸反间谍2007 改名后运行扫描隐蔽软件清除。
修复 IFEO 映像劫持，可使用论坛.置顶帖收录的，尽快补充一个 2000系统的。字串6

字串4

QUOTE:
IFEO映像挟持修复_FOR WINDOWS 2000 by shurenzhi
http://www.duote.net/31A6737317DF234C 字串3

　　这种病毒是利用浏览器的漏洞进行传播，我们在上网的时候最好用最新版浏览器看网页,新版浏览器浏览器下载地址：

随机7位字母恶性u盘病毒手动杀毒教程正文结束

阅读全文 | 回复(0) | 引用通告 | 编辑

标签：恶性病毒 u盘

上一篇：Asp.net介绍
下一篇：(原创)从电脑往手机里塞东东的方法

发表评论：