关于tool.exe的手工杀毒c0nime.exe servere.exe shualai.exe1explore.exe cmdbcs.exe

卡卡论坛：baohe

这是个利用ANI漏洞传播的木马群，其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。

另：中招后，系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。

我的手工查杀流程如下（用IceSword操作）：

1、禁止进程创建。

2、根据SRENG日志，先结束病毒进程shualai.exe以及所有被病毒模块插入的进程（病毒插入了哪些进程，取决于你当时运行的程序。以下是我运行该样本后的例子。）

[PID: 484][C:/windows/Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[C:/windows/system32/cmdbcs.dll] [N/A, N/A]

[PID: 2252][C:/Program Files/Tiny Firewall Pro/amon.exe] [Computer Associates International, Inc., 6.5.3.2]

[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[PID: 3880][C:/WINDOWS/system32/shadow/ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]

[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[PID: 2760][C:/Program Files/SREng2/SREng.exe] [Smallfrogs Studio, 2.3.13.690]

[PID: 2548][C:/windows/shualai.exe] [N/A, N/A]

3、删除病毒文件（图1）；清空IE临时文件夹。

图1地址：http://images.rising.com.cn/uploadfiles/20074/17/1558472007417100851.jpg

4、删除病毒启动项（图2）。

图2地址：http://images.rising.com.cn/uploadfiles/20074/17/1558472007417100925.jpg

5、取消IceSword的“禁止进程创建”。

6、修复hosts文件。

注：系统分区以外的那些被病毒感染的.exe——估计是没救了。节哀。

关于tool.exe的手工杀毒c0nime.exe servere.exe shualai.exe1explore.exe cmdbcs.exe相关推荐

手工杀毒之“三十六计”
电脑用户与病毒.***的斗争不亚于一场战争,而且旷日持久!战争中,杀毒软件或存妇人之仁,不能除恶务尽,或悄无声息地倒下了.伟大的孙子兵法,不仅被应用于人类社会的战争,而且适用于这场战争.在与病毒.** ...
[原创]万能杀毒，打造手工杀毒高手
娘西皮的,好久没写文章了,实在懒的动了,今天介绍下手工杀毒,很早俺就在群里简单的说过一下,今天来个详细滴首先,前提是你的系统分区是NTFS,如果不是,唉,大叔,你已经落后很多了,赶紧换吧(crack ...
如何利用系统自带命令搞定手工杀毒
电脑用户最害怕的就是一些病毒,虽然我们的电脑上安装有各种的杀毒软件,但是也抵制不了病毒的恶性侵入,下面教你如何自己亲自动手来用系统自带的工具绞杀病毒,快来看看吧自己亲自动手来用系统自带的工具绞杀病毒 ...
手工杀毒-手工查杀病毒木马
手工杀毒的方法: 对于常见的木马病毒,可通过以下方法找出木马病毒文件并进行清除: 一.注册表清除利用注册表加载运行如下所示的注册表位置是木马的藏身之处: HKEY_LOCAL_MACHING\Sof ...
手工杀毒的方法1（转）
手工杀毒的方法: 对于常见的木马病毒,可通过以下方法找出木马病毒文件并进行清除: 一.注册表清除利用注册表加载运行如下所示的注册表位置是木马的藏身之处: HKEY_LOCAL_MACHINE\Sof ...
系统维护巧妙使用进行手工杀毒
一款好的防火墙并不能发现所有病毒:一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单--手工杀毒.而要论到手工杀毒,就不能不提到系统进程的妙用了. 进程.病毒? 书上说:& ...
MSN病毒性感相册一个变种的手工杀毒方法
今天一个漂亮MM给我传过来一个文件,告诉我是最近的照片,出于对漂亮MM的信任,我接收并打开了传来的文件,不幸的事情发生了,我中毒了.鼠标不听话,疯狂的在往在线的MSN好友中发带毒文件.导至一些朋友也中 ...
进程与病毒—妙用系统进程手工杀毒
一款好的防火墙并不能发现所有病毒:一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单--手工杀毒.而要论到手工杀毒,就不能不提到系统进程的妙用了. 进程.病毒? 书上说:& ...
用WsysCheck进行手工杀毒/木马
用WsysCheck进行手工杀毒/木马什么是映像劫持? 有些情况下,机器中毒之后,将有可能无法使用绝大多数杀毒软件,这是由于病毒利用了注册表里的"映像劫持".简单点说,当杀毒软件 ...

关于tool.exe的手工杀毒c0nime.exe servere.exe shualai.exe1explore.exe cmdbcs.exe

关于tool.exe的手工杀毒c0nime.exe servere.exe shualai.exe1explore.exe cmdbcs.exe相关推荐

最新文章

热门文章