复合型机器狗病毒的***(lssass.exe)
Size: 12340 bytes
Modified: 2008年2月1日, 22:57:01
MD5: 3F93A9CCB07B2341C7BED9CE807CA34D
SHA1: DB9E60225412DED91C3BD783BE5E76AA6AD77C4E
CRC32: 29257F02
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\lssass.exe
之后会替换userinit.exe文件
C:\WINDOWS\system32\drivers\ati32srv.sys
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
Ras.exe
RavMonD.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
KAV32.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
procexp.exe
OllyDBG.EXE
OllyICE.EXE
rfwstub.exe
RegTool.exe
rfwProxy.exe
里面的VERSION信息 如果发现不是最新版本 则下载最新版本 具有自我更新功能
目前下载的病毒地址为
[url]http://2.[/url]×××.info/xm/aa1.exe~[url]http://2.[/url]×××.info/xm/aa13.exe
[url]http://444.[/url]××××××××.com/xm/aa14.exe~[url]http://444.[/url]××××××××.com/xm/aa26.exe
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WSockDrv32><C:\WINDOWS\dqyxis.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<kfzmwcnyi><kfzmwcnyi.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2f32e793-9263-4aa5-862f-da2480554715}><C:\WINDOWS\system32\JAA-JAA-1032.dll> []
<{9a8234b5-a04c-4b0c-ad8c-f4fdb94c9543}><C:\WINDOWS\system32\RAA_RAA_1002.dll> []
<{4FA10261-B890-F432-A453-69F1023513F4}><C:\WINDOWS\Fonts\gjcsdyc.dll> []
<{94f833b0-726d-4d09-b715-6352f632ece7}><C:\WINDOWS\system32\QAB_QAB_1011.dll> []
<{0a1d93b9-0e5d-4239-94df-6e673bf85067}><C:\WINDOWS\system32\IIA-IIA-1030.dll> []
==================================
驱动程序
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[msskye / msskye][Running/Auto Start]
<system32\drivers\msaclue.sys><N/A>
==================================
正在运行的进程
[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
[PID: 1472][C:\windows\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]
[C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]
[C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]
[C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]
[C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]
[C:\WINDOWS\wlqirtuk.dll] [N/A, ]
[C:\WINDOWS\dcadmqws.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]
[C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
[C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
[C:\WINDOWS\system32\SHAProc.dll] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
...
1.手动查杀:
下载sreng:[url]http://download.kztechs.com/files/sreng2.zip[/url]
Xdelbox:下载地址[url]http://www.dodudou.com/down/[/url]里面的原创软件文件夹下
C:\WINDOWS\Fonts\gjcsdss.dll
C:\WINDOWS\Fonts\gjcsdyc.dll
C:\WINDOWS\Fonts\gjcsdzc.exe
C:\WINDOWS\Fonts\gjcubxw.fon
C:\WINDOWS\system32\drivers\msaclue.sys
C:\WINDOWS\system32\drivers\usbKeyInit.sys
C:\WINDOWS\system32\3auhad.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\ejcvogxwow.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\HDDGuard.dll
C:\WINDOWS\system32\HHHCompress.dll
C:\WINDOWS\system32\hnibxqidj.dll
C:\WINDOWS\system32\IIA-IIA-1030.dll
C:\WINDOWS\system32\JAA-JAA-1032.dll
C:\WINDOWS\system32\knjcwnezyzj.dll
C:\WINDOWS\system32\knlExt.dll
C:\WINDOWS\system32\lnaixnauhqq.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\lrngbtlzx.dll
C:\WINDOWS\system32\lssass.exe
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\mshxxbb32.dll
C:\WINDOWS\system32\msqjmmm32.dll
C:\WINDOWS\system32\mstfhncn32.dll
C:\WINDOWS\system32\mswmkkk32.dll
C:\WINDOWS\system32\mswwwdj32.dll
C:\WINDOWS\system32\niluw.dll
C:\WINDOWS\system32\otpiexpqj.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\QAB_QAB_1011.dll
C:\WINDOWS\system32\RAA_RAA_1002.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Wingin.exe
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\xbwqogywm.dll
C:\WINDOWS\dcadmqws.dll
C:\WINDOWS\kfzmwcnyi.exe
C:\WINDOWS\litknpar.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\wlqirtuk.dll
C:\WINDOWS\WSockDrv32.exe
在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除”
软件会自动重启计算机
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管,它会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
网
复制C:\Windows\system32\dllcache\userinit.exe 到C:\Windows\system32覆盖已有文件 如果提示覆盖错误 在任务管理器里面结束userinit.exe即可
目前此类病毒的主要传播途径是网页挂马
所以希望大家注意以下几点:
1.及时升级杀毒软件和防火墙(老生常谈)
2.一定要打全Windows系统补丁(非常重要)
3.各种软件也尽量使用最新版本,尤其迅雷,PPstream,realplayer,暴风影音,百度toolbar等等,现在大多以利用这些软件的漏洞挂马为主
转载于:https://blog.51cto.com/yuncx/61779
复合型机器狗病毒的***(lssass.exe)相关推荐
- 机器狗病毒专杀和机器狗病毒样本研究
转自 "The Savager Blog " , 原文链接:http://www.xiji.org/article.asp?id=420 版权归原作者所有,转载请注明出处! 机器狗 ...
- 机器狗病毒特征与防治
作者:许本新<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 新 ...
- 新版“机器狗”病毒详细分析资料
报告名称:新版"机器狗"病毒详细分析资料(全部资料的一少部分) 报告类型:病毒原理逆向反汇编分析播报 编写作者:Coderui 编写日期:2008年01月15日 >>& ...
- 机器狗病毒的工作原理和判断
http://article.pchome.net/content-581031.html 机器狗病毒名字由来和工作原理 机器狗病毒名字的由来 2008年春节前后,一个长相若电子宠物狗的程序潜入互联网 ...
- 一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐
一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐 日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐. 中科蓝光为了验证机器狗病毒的破坏性及是否对蓝光保护卡产品有威胁,组织了多次感 ...
- 机器狗写入到userinit.exe文件的下载者源码(c及汇编)
机器狗源码(C语言的),将病毒体从资源中提取出来写入到第一个分区的指定文件中 // Test.cpp : 定义控制台应用程序的入口点. // #include "stdafx.h" ...
- 机器狗病毒 161端口漏洞 snmp***思路
机器狗的生前身后 曾经有很多人说有穿透还原卡.冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本.这个病毒没有名字,图标是SONY的机器狗阿宝,就像前 ...
- 机器狗”病毒驱动部分逆向分析注释(C代码)
软件名称]: 机器狗(病毒) [下载地址]: http://www.dream2fly.net/ 或 自己搜索下载 [加壳方式]: 未知壳 [编写语言]: MASM(我也不太懂这个,学好这个就可以编自 ...
- MSN、易趣、大旗被挂马 用户浏览后感染机器狗病毒
据瑞星"云安全"系统监测,4月22日,"MSN中国读报频道(与方正阿帕比合建)"."大旗网"."易趣品质网购店"等被黑客 ...
最新文章
- 2.Azure资源组迁移
- input自适应_【正点原子FPGA连载】第十一章基于OV5640的自适应二值化实验-领航者ZYNQ之HLS 开发指南...
- 50K求聘.NET,我们是认真的!
- 使用Regions ADF 11g进行Master Detail CRUD操作
- Android TextView跑马灯效果与设置文字阴影
- centos之mysql安装配置使用
- GitHub 2019年漏洞奖励计划最值得回顾的2个精彩 bug
- 941. 有效的山脉数组
- 未使用的分配java,最近最久未使用页面淘汰算法———LRU算法(java实现)
- 新手必须要注意的编程范式
- java 实现qq截图功能吗_Java实现了任意位置截屏(仿QQ截图)
- Filecoin网络为什么需要矿池,ipfs\FIL挖矿比单体矿机有什么优势
- 数据采集与埋点简介之 代码埋点、可视化埋点与无痕埋点
- 【计算机英语】期末复习笔记
- 【前端】页面适配?移动端适配屏幕的各种解决方案!
- 你懂得“沉没成本”是什么吗?是可怕的赌徒思想,会毁了你的一生
- 解决window 10 Edge浏览器下载速度太慢
- 产品随记-无埋点数据采集
- 江汉大学计算机专业男女比,2018全国高校男女比例排行榜!
- 1分钟链圈 | EOS区块生产者达成一项新协议,降低新账户创建成本并给予新账号免费RAM...