关于tool.exe的手工杀毒c0nime.exe servere.exe shualai.exe1explore.exe cmdbcs.exe
卡卡论坛:baohe
这是个利用ANI漏洞传播的木马群,其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。
另:中招后,系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。
我的手工查杀流程如下(用IceSword操作):
1、禁止进程创建。
2、根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪些进程,取决于你当时运行的程序。以下是我运行该样本后的例子。)
[PID: 484][C:/windows/Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[C:/windows/system32/cmdbcs.dll] [N/A, N/A]
[PID: 2252][C:/Program Files/Tiny Firewall Pro/amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[PID: 3880][C:/WINDOWS/system32/shadow/ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[PID: 2760][C:/Program Files/SREng2/SREng.exe] [Smallfrogs Studio, 2.3.13.690]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[PID: 2548][C:/windows/shualai.exe] [N/A, N/A]
3、删除病毒文件(图1);清空IE临时文件夹。
图1地址:http://images.rising.com.cn/uploadfiles/20074/17/1558472007417100851.jpg
4、删除病毒启动项(图2)。
图2地址:http://images.rising.com.cn/uploadfiles/20074/17/1558472007417100925.jpg
5、取消IceSword的“禁止进程创建”。
6、修复hosts文件。
注:系统分区以外的那些被病毒感染的.exe——估计是没救了。节哀。
关于tool.exe的手工杀毒c0nime.exe servere.exe shualai.exe1explore.exe cmdbcs.exe相关推荐
- 手工杀毒之“三十六计”
电脑用户与病毒.***的斗争不亚于一场战争,而且旷日持久!战争中,杀毒软件或存妇人之仁,不能除恶务尽,或悄无声息地倒下了.伟大的孙子兵法,不仅被应用于人类社会的战争,而且适用于这场战争.在与病毒.** ...
- [原创]万能杀毒,打造手工杀毒高手
娘西皮的,好久没写文章了,实在懒的动了,今天介绍下手工杀毒,很早俺就在群里简单的说过一下,今天来个详细滴 首先,前提是你的系统分区是NTFS,如果不是,唉,大叔,你已经落后很多了,赶紧换吧(crack ...
- 如何利用系统自带命令搞定手工杀毒
电脑用户最害怕的就是一些病毒,虽然我们的电脑上安装有各种的杀毒软件,但是也抵制不了病毒的恶性侵入,下面教你如何自己亲自动手来用系统自带的工具绞杀病毒,快来看看吧 自己亲自动手来用系统自带的工具绞杀病毒 ...
- 手工杀毒-手工查杀病毒木马
手工杀毒的方法: 对于常见的木马病毒,可通过以下方法找出木马病毒文件并进行清除: 一.注册表清除 利用注册表加载运行如下所示的注册表位置是木马的藏身之处: HKEY_LOCAL_MACHING\Sof ...
- 手工杀毒的方法1(转)
手工杀毒的方法: 对于常见的木马病毒,可通过以下方法找出木马病毒文件并进行清除: 一.注册表清除 利用注册表加载运行如下所示的注册表位置是木马的藏身之处: HKEY_LOCAL_MACHINE\Sof ...
- 系统维护 巧妙使用进行手工杀毒
一款好的防火墙并不能发现所有病毒:一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单--手工杀毒.而要论到手工杀毒,就不能不提到系统进程的妙用了. 进程.病毒? 书上说:& ...
- MSN病毒性感相册一个变种的手工杀毒方法
今天一个漂亮MM给我传过来一个文件,告诉我是最近的照片,出于对漂亮MM的信任,我接收并打开了传来的文件,不幸的事情发生了,我中毒了.鼠标不听话,疯狂的在往在线的MSN好友中发带毒文件.导至一些朋友也中 ...
- 进程与病毒—妙用系统进程手工杀毒
一款好的防火墙并不能发现所有病毒:一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单--手工杀毒.而要论到手工杀毒,就不能不提到系统进程的妙用了. 进程.病毒? 书上说:& ...
- 用WsysCheck进行手工杀毒/木马
用WsysCheck进行手工杀毒/木马 什么是映像劫持? 有些情况下,机器中毒之后,将有可能无法使用绝大多数杀毒软件,这是由于病毒利用了注册表里的"映像劫持".简单点说,当杀毒软件 ...
最新文章
- 高薪寻人 | 2018 “神策杯”高校算法大师赛 6 强诞生,【招人】进行时……
- Matlab对话框总结
- Kubernetes NodePort vs Loadbalancer vs Ingress 在生成中如何选择?
- 搞定所有的跨域请求问题
- mysql dba证书挂靠_这7种情况都叫“证书挂靠”!看看你是否在挂证的边缘试探?...
- Centos php5.3.3 升级 5.5.26 mysql5.1.73 升级 5.6.25
- POJ3980 取模运算【水题】
- C++第一次试水写cstring类
- node.js小工具--修改Xcode 'Create by'作者名称
- Android network框架分析之NetworkManagementService和netd交互深入分析(二)
- HTTP(9):新增功能协议
- C++ filesystem 文件系统初体验
- 计算机上显示F怎么取消,联想笔记本如何关闭Fn功能键 怎么取消电脑的f
- RL极简入门:从MDP、DP MC TC到Q函数、策略学习、PPO
- 利用Java抓取网页数据
- R12供应商银行账户SQL
- IDEA修改字体大小 导航栏字体 编辑器字体
- 16、Java 基础-反射
- ResNet 论文理解含视频
- 疯狂英语口语突破-突破句型2
热门文章
- python中文词云图代码_Python文本处理NLP:分词与词云图
- 调用移动端相机以及相册功能
- MPSoC PYNQ框架集成VCU-1.VCU在ZCU104上运行
- JRebel无限制版
- Android源码看设计模式(十)--------关于享元模式的Handler相关分析
- 【编程实践】Linux Shell 编程:使用 循环和递归 实现斐波那契数列代码
- 计算机毕业设计 SSM税务信息管理系统 缴税信息管理系统 税务申报管理系统
- 3个月计算机考研,【图片】(重开)三个月考研成功的心路历程 -南邮计算机【南京邮电大学研究生院吧】_百度贴吧...
- 箭线图六时标注法计算步骤
- Windows系统文件名查询