本文目录一览:
-
1、超级木马病毒求解
超级木马病毒求解
你把我下面写的东西复制到一个文本下,然后保存为*.reg的格式,然后运行。再改显示隐藏文件就能看到了。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
刚从同学的U盘里面逮到的,oobtwtr.exe和autorun.inf,又是一个恶意的U盘病毒(病毒名随机7位)。我可爱的瑞星又没有报。
oobtwtr.exe特点:
文件大小:24KB
加壳:FSG 2.0 - bart/xt [Overlay]
编写语言:Borland Delphi 6.0 - 7.0
运行oobtwtr.exe后:
在C:\Program Files下生成meex.exe
在C:\Program Files\Common Files\Microsoft Shared\下生成hwxwctd.exe
在C:\Program Files\Common Files\System下生成bhdhsmb.exe
改名C:\WINDOWS\system32\verclsid.exe为verclsid.exe.bak ,删除verclsid.exe
在除C盘外的每个磁盘分区下面生成oobtwtr.exe和autorun.inf
连接网络,下载1A11.exe~10j20.exe释放下列一系列文件后删除自身:
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\cmdbcs.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\mppds.dll
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\upxdnd.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\Kvsc3.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll(注入EXPLORER)
C:\WINDOWS\system32\8H18.dll(注入EXPLORER)
C:\WINDOWS\system32\10J20.dll(注入EXPLORER)
C:\WINDOWS\system32\mydata.exe
C:\WINDOWS\system32\nwizAsktao.exe
C:\WINDOWS\system32\nwizAsktao.dll
C:\Program Files\DLD.DAT
C:\WINDOWS\system32\dllhost32.exe
修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,添加hwxwctd.exe、bhdhsmb.exe、cmdbcs.exe、mppds.exe、upxdnd.exe、Kvsc3.exe进启动项。
关闭安全中心:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
关闭自动更新:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
破坏安全模式:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
IFEO映像劫持:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
使得N多安全工具或者杀毒软件无法运行,并且只要打开只要有病毒、木马字样的窗体,就会被自动关闭,使得清除工作变得困难。
清除工具:SRENG、冰刃、autoruns(全部改名,否则无法运行)
清除办法:
1、打开autoruns,点击映像劫持,把除Your Image……以外的全部删除
2、打开冰刃,点击文件、设置,把禁止进线程创建打上钩,结束hwxwctd.exe,bhdhsmb.exe。选中Explorer.exe右键,模块信息,找到SysWFGQQ2.dll、8H18.dll、10J20.dll,强制解除。
3、接续使用冰刃,点击文件,找到上述生成物所在的地方,删除。
4、打开sreng,
删除启动项,如本例就是删除红色部分。这里补充说明一下,因为这个病毒有很多变种,而且病毒名随机生成,故可先使用sreng查看启动项,再参考本文删除病毒文件。5、点击sreng的系统修复,修复安全模式
怎样查看木马及病毒文件
木马病毒危及我们的电脑安全,那么如何清除木马病毒就成了一个很重要的问题。想删除木马病毒就首先要查找到木马病毒。那么如何查找木马病毒呢?下面我们来看看如何查找木马病毒。 查找木马病毒可以使用软件查找也可以使用手工查找。 使用软件查杀就是我们通常所说的使用杀毒软件进行查杀。常用的防木马病毒的软件有诺顿,瑞星,金山毒霸等。如果只是针对木马的话,也可以使用木马克星之类的软件。使用软件进行查找比较简单,只要升级杀软的病毒库然后点击查杀就可以了。我们这里不再多说。 下面我们来看一下手工查找木马病毒的方法。 启动组、Win.ini、System.ini、注册表等是木马比较爱潜伏的地方。 在win.ini文件中,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,如:run=c:\windows\GAME.exe load=c:\windows\GAME.exe 那么这个GAME.exe 文件就很可疑了。而system.ini文件中,在[boot]字段下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 我们还可以查看一下我们电脑中的启动组,发现可疑的程序的话也很有可能是木马病毒。然后我们清除相应的项就可以了。
木马病毒程序有那些
您好:
木马病毒是比较多的,例如灰鸽子木马病毒、冲击波木马病毒、特洛伊木马病毒等等,如果您的电脑中了木马病毒的话,建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,是完全可以帮助您查杀病毒而且保护您的电脑的哦。
您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台: