java kernel32.dll,关于kernel32.sys病毒的问题
今天给一个朋友查看电脑,突然发现kernel32.sys这个启动项,觉得可疑,居然还删不掉,于是搜索了下,把相关的资料整理如下:
1. 症状
(1) 如果系统中安装有WinRAR(一种很好的压缩解压工具,很多电脑上有安转),在任务管理器中会出现一个以SYSTEM方式运行的rar.exe,偶尔占用CPU达到100%. 经过确认,rar.exe本身是WinRar附带的一个命令行工具,并不是病毒,只是被病毒利用了而已。
(2) 无法显示隐藏的系统文件:在文件夹选项中将“显示受保护的操作系统文件”前面的勾去掉后,再次打开文件夹选项,发现刚才的操作无用。
(3) 感染U盘,在U盘下创建如下文件(设U盘的盘符为U:):
U:\autorun.inf
U:\RECYCLER\RECYCLER\desktop.ini
U:\RECYCLER\RECYCLER\autorun.exe
注意,以上文件的属性均为系统、隐藏,在感染了该病毒的机器上是没有办法通过资源管理器看见的
(4) 该病毒会在系统中创建如下文件:
c:\windows\system32\kernel32.sys
c:\windows\system32\mfc48.dll
c:\windows\java\classes\java.dll
%temp%\dfssetup.tmp,其中%temp%为当前用户的临时文件夹,例如C:\Documents and Settings\User\Local Settings\Temp
(5) 该病毒还会修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"UncheckedValue"=dword:00000001
将其值修改为dword:00000000
修改该值实现在资源管理器中无法显示“隐藏的系统文件”的功能。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
将其值修改为kernel32.sys
修改该值实现自动加载kernel32.sys的功能。注意,该加载项在msconfig中是看不见的!
2 . 清除办法:
清除方案1:
MS-DOS引导,删除 系统盘:\系统目录\system32\mfc48.dll,系统盘:\系统目录\system32\kernel32.sys,系统盘:\系统目录\java\java.dll,重启。
将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空。
清除方案2:
用IceSword逐一卸掉各个进程中的上述模块(先把无关进程结束以减轻工作量,不要使用强制卸除)
然后删除对应文件。如果删不掉就用强制删除。重启。
将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空。
SSM暴力杀灭法(未经多次试验):
在SSM的规则中将svchost.exe的规则删掉。
将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空
这时SSM提示svchost.exe要修改注册表,永久拒绝。
保存所有未完成的工作,按下机箱上的Reset键重启。
删除kernel32.sys,java.dll,mfc48.dll
删除svchost.exe的规则。
另附个专杀工具,见附件
java kernel32.dll,关于kernel32.sys病毒的问题相关推荐
- 10.4.4 使用ctypes调用kernel32.dll中的函数
10.4.4 使用ctypes调用kernel32.dll中的函数 2007-10-17 14:41 孙广磊 人民邮电出版社 字号:T | T 综合评级: 想读(5) 在读(0) 已读(6) ...
- C#简繁体转换方法(kernel32.dll)
转自洪晓平原创,感谢作者 1.using System.Runtime.InteropServices; 2.import kernel32.dll [DllImport("kernel32 ...
- 问C#高手: [DllImport(“kernel32.dll“)]是什么意思??
这叫引入kernel32.dll这个动态连接库. 这个动态连接库里面包含了很多WindowsAPI函数,如果你想使用这面的函数,就需要这么引入.举个例子: [DllImport("kerne ...
- kernel32.dll出错解决方案
kernel32.dll 一.什么是kernel32内核文件 kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件.它控制着系统的内存管理.数据的输入输 ...
- 浅谈Kernel32.dll(Windows平台下必有的动态库文件)
今天听了前辈的黑客攻击的知识分享,里面比较基础的元素就是Kernel32.dll,我对它感兴趣好久了,今天搜集一些资料,有关Kernel32的. 目录 编辑 一.Kernel32介绍 二.Kerne ...
- Windows系统kernel32.dll文件出问题的原因及其解决方案
出错原因: 1.Windows自身的临时交换文件被破坏: 2.文件分配表(FAT)出现错误: 3.用户名和密码列表错误: 4.装载了已经被破坏的或者是不正确版本的ker -nel32.dll文件: 5 ...
- postman安装报错 无法定位_VS2010 + winxp 无法定位程序输入点GetTickCount64 在动态链接库kernel32.dll上 错误...
winxp系统,使用VS2010, 在使用boost中的thread中的sleep的时候出现 "无法定位程序输入点GetTickCount64 在动态链接库kernel32.dll上&quo ...
- 关于错误 Unhandled exception in .exe (Kernel32.dll): 0xE06D7363
这两天遇到一个奇怪的问题:ado 编程 使用 _RecordsetPtr 类的 Update() 方法,更新一条记录非常不稳定, 有时候能成功更新有时候就不能 错误信息也无法捕获 直接给我来一个 Un ...
- 重定位(搜索KERNEL32.DLL得到API地址)
1 ;-------------------------------- 2 ;动态加载功能实现 3 ;moriarty 4 ;2012/04/13 5 ;----------------------- ...
- 利用FS寄存器获取KERNEL32.DLL基址算法的证明
FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberD ...
最新文章
- C 语言——字符串和格式化输入/输出
- golang 解析html
- 开启Windows8里面的Hyper-V虚拟机功能
- GPU虚拟化时代的到来(vGPU)!CitrixNVIDIA联合研发虚拟化共享GPU技术预览
- 《2020年AI新基建发展白皮书》重磅发布,展示百度智能云多个落地案例
- 自己做一桌丰盛晚餐犒劳犒劳
- python-OpenCV之numpy数组操作
- combo空间禁止手动输入_国产大空间MPV新选择 上汽大通新款G10国六版本上市
- mapreduce on yarn简单内存分配解释
- 使用命令行 启动 各种服务(控制面板 开机启动项 注册表 等)
- NYOJ458 - 小光棍数
- 查看web站点缓存的好工具Cache Manager -- 避免滥用缓存
- 学到了林海峰,武沛齐讲的Day17-5 内置函数
- 区块链与联邦学习综述
- 愤怒的小鸟游戏开发教程(持续更新)
- 办公小贴士之:Excel奇偶行隔行填充颜色
- <MySQL>表中添加和删除字段
- Yolov5部署训练及代码解读
- Linux内存池技术
- Python 高效编程技巧