遭遇nat.exe,socks.exe,USP10.dll,BOSC.dll,kb080387.CNT,~ctwxw.txt等2
(续1)
从pe_xscan的log上看,恶意程序不仅使用了与Windows系统文件相同的文件名(如C:/Program Files/svchost.exe),这样运行时可以在任务管理器中迷惑用户,而且还替换了许多系统文件(log中以紫色标记,如C:/WINDOWS/system32/GDI32.dll),而使用映像劫持技术(IEFO)来阻止系统安全防护软件的运行,则不是什么新鲜的技术了。
由于鬼影病毒会修改硬盘主引导记录,需要修复,Google下载DrWeb CureIt!到U盘备用。现在的DrWeb CureIt!体积居然接近50MB了,记得以前刚开始用它时文件还不到5MB呢。
到http://purpleendurer.ys168.com下载了 bat_do、FileInfo、IEFO_Man,也放到U盘备用。
用Win PE光盘启动电脑,寻找可疑文件,用FileInfo提取文件信息,用bat_do打包备份。
用WinRAR检查并删除各盘下的伪装成文件夹的EXE文件。
把DrWeb CureIt!拷到F盘运行,不料DrWeb CureIt!强出来个对话框,没仔细看就点了确定按钮,结果屏幕被锁定,四个角显示“Dr.Web CureIT!加强模式”(看起来与Windows系统的“安全模式”相似),无法操作,按Alt+F4后桌面空白,按Ctrl+Alt+Del也没反应,只好重启电脑。
后来Google了一下,原来新版Dr.Web CureIT!新增“加强模式”,用户双击启动该软件时,会弹出提示窗口,点击“确定”按钮就会以“加强模式”来工作。在“加强模式”下除了Dr.Web CureIT!可以运行外,其它应用程序都将被锁定而无法运行,这样可以彻底地查杀更多的顽固病毒程序。
更多介绍可以参考:免费强悍大蜘蛛绿色版:Dr.Web CureIt!
http://news.newhua.com/news/2010/0925/103083.shtml
挺久没用DrWeb CureIt!这个软件了,不想被它撞了一下腰。
重启电脑从硬盘启动,果然出问题了:
电脑蓝屏!
出错信息为:Stop:c0000135 unknown Hard Error
估计与Windows系统被恶意程序替换有关。
重启电脑,选择以最后一次正确的配置来启动或以安全模式来启动,都不行。
手动恢复Windows系统文件太麻烦,朋友电脑中的C盘也没有什么需要保留的文件,于是一键还原。
一键还原并不能清除隐藏在硬盘主引导记录中的鬼影病毒,所以进入桌面后,鬼影病毒发作的症状再次上演:桌面有淘宝等图标;有名为nat.exe的命令提示符窗口一闪而过……
病毒还会从网上下载文件,所以在修复时最好断开网线。
运行F盘上的DrWeb CureIt!,选择常规模式扫描。
然后打开IEFO_Man,手工为nat.exe等恶意程序文件添加IEFO,以其人之道还治其人之身,阻止它们运行。
DrWeb CureIt!自动扫描结果如下:
DrWeb CureIt!检测到了隐藏在硬盘主引导记录中的鬼影病毒。
按提示重启电脑,接上网线,下载、安装金山安全套装,查杀病毒,检修系统。
发现金山卫士-网盾-浏览器设置-IE首页锁定功能不生效,把IE守护者卸载了才搞定。
遭遇nat.exe,socks.exe,USP10.dll,BOSC.dll,kb080387.CNT,~ctwxw.txt等2相关推荐
- 遭遇Trojan.Alipop,microinfo.dll,gofwk.pic,game.dll,qpjmy.exe,nnaa.exe,SafeDrv.exe等1
一位朋友的电脑最近出了问题:进入桌面后要等许久才能操作:360杀毒软件无法启动:自动弹出许多广告网页窗口:IE浏览器被劫持为hxxp://www.97796.cn/?205486:桌面上自动出现&qu ...
- 遭遇 my.exe,svch0st.exe,iexpl0re.exe,rundl13a.exe,LgSym.dll 等
endurer 原创 2007-02-06 第1版 一位网友的电脑,最近瑞星经常报告: /--- 病毒名称 处理结果 扫描方式 路径 文件 病毒来源 Trojan ...
- 遭遇Cli5.exe,DNFchin.exe,362.VBS,svhot.exe,userdata.dll,oshajf.sys等
昨天,一位朋友的电脑重装系统没几天就出了问题:正常模式进入桌面后就卡住了,鼠标指针一直为漏斗状,无法操作.请我帮忙检修. 朋友电脑桌面上有金山毒霸2012的图标,但任务栏托盘区没有金山毒霸监控程序的图 ...
- 遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等2
遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等2 endurer 原创 2008-10-23 第 ...
- 遭遇修改系统时间、使用映像劫持的xibgptd.exe,netdde32.exe等2
遭遇修改系统时间.使用映像劫持的xibgptd.exe,netdde32.exe等2 endurer 原创 2007-08-10 第1版 (续log) O9 - IE工具栏扩展按钮HKLM:中文上网 ...
- 遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等1
遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等1 endurer 原创 2008-09-06 第1版 ...
- 遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等2
遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等2 (续1) 因为时间的关系,不能对病毒样本文件做测试,这里把部分文件信息发 ...
- 遭遇kav32.exe,scvhost.exe,NXD.exe,WINMSCABC.IME,extext74296t.exe等1
遭遇kav32.exe,scvhost.exe,NXD.exe,extext74296t.exe等1 endurer 原创 2009-11-10 第1版 昨天一位同事的电脑中了病毒,瑞星监控小伞图标消 ...
- C# 合并DLL, 合并DLL进入EXE
原文:C# 合并DLL, 合并DLL进入EXE 使用方法非常简单 在项目属性窗口中,选择"生成事件",在"生成后事件命令行"下的文本框中输入 ilmerge / ...
- 【解决方案】t2gp.exe - 损坏的映像 | libcef.dll没有被指定在 Windows 上运行
t2gp.exe - 损坏的映像 | libcef.dll没有被指定在 Windows 上运行 发生场景与问题描述: 原因分析: 解决方案: libcef.dll下载链接 发生场景与问题描述: 当你很 ...
最新文章
- 如何使‘CREATE TABLE AS SELECT’能支持ORDER BY ?
- 『全球化产品』应该要避开的几个坑
- mongodb连接失败_深入浅出mongodb(一)
- Fastdata极数:2021年中国互联网基金投资用户报告
- 1013.clion配置快捷提示模板
- 简易的设计模式——桥梁模式
- GridView合并表头多重表头无错完美版(以合并3列3行举例)
- 图片的变形与模糊,是两回事
- nginx配置lua脚本
- 英特尔图形安装程序的linux,如何在我的系统中安装英特尔图形驱动程序?
- OpenCV-像素值读写(java版)
- php换脸,PS换脸术 蒙娜丽莎图片换脸教程
- [源码解析] 深度学习流水线并行 PipeDream(6)--- 1F1B策略
- Unity3D-VR《静夜诗》5-李白吟诗
- 电视出现服务器无响应是怎么回事儿,电视运行卡顿无响应死机怎么办,只需三步让电视焕然一新!...
- unicloud.dcloud
- arm汇编lr pc b bl ret指令函数调用和返回gif动图演示
- 钉钉通知-调用钉钉发送企业内部消息开发
- 公共DNS服务器——谷歌、阿里、百度
- 微信中那种卡片形式的图文链接是如何制作的