常见病毒资料及清除方法
作者:未知 日期:2007-9-22 7:45:49 来源:未知 点击:次 评论
本文介绍Backdoor.Win32.Agent.luc病毒资料及清除方法。
【病毒分析】:
该病毒具有以下行为:
1、病毒运行后将自己复制到下列路径:
%WINDOWS%\SYSTEM\CMPKU.EXE
%WINDOWS%\MAPSERVER.EXE
%WINDOWS%\SYSTEM\MAINSV.EXE
2、病毒在注册表中添加下列启动项实现自启动:
??? HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
?"Cmpnt" = %WINDOWS%\SYSTEM\CMPKU.EXE
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
?"Ntcheck" = %WINDOWS%\MAPSERVER.EXE
??? HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
?"Shell" = %WINDOWS%\SYSTEM\MAINSV.EXE
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunOnce
?"Cmpnt" = %WINDOWS%\SYSTEM\MAINSV.EXE
3、病毒还修改注册表下列键值的实现"不显示隐藏文件"、"隐藏已知扩展名"
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced?
??????? "HideFileExt" = 0x1
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
??????? "Hidden" = 0x0
4、病毒在后台隐藏运行,接收网络中发送的请求并且执行下列请求对应的动作
1.获取中毒计算机中的目录信息,
2.获取中毒计算机中的文件信息,
3.删除中毒计算机中的文件
4.执行中毒计算机中的文件
5.关闭中毒计算机
6.注销中毒计算机
7.修改中毒计算机中的文件属性
8.获取中毒计算机的IP地址 等等.
【清除方法】:
使用瑞星橙色八月专杀工具查杀,在内存扫描完成后,打开瑞星杀毒软件升级到最新版本全盘查杀。
本文介绍Trojan.Mnless病毒资料及清除方法。
【病毒分析】:
该病毒用delphi语言编写,并且使用UPX加壳,具有以下行为
1、病毒首先会把自己复制到C:\Program Files\Internet Explorer\IEXPLORE.New同时生成一个Dll1文件IEXPLORE.win
2、病毒把IEXPLORE.win文件插入到Explore进程中保护自己,
3、病毒在注册表中中加入
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,在激活一个Shell事件时启动病毒。
4、病毒会从http://www.qqkx.com/cp/CPOpen.txt和http://www.qqkx.com/cp/CPDown.txt网站上下载并运行病毒。
【清除方法】:
1、进入注册表删除掉
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks注册表项。重启电脑。进入C:\Program Files\Internet Explorer文件夹,删除下面这两个文件:
IEXPLORE.New与IEXPLORE.win文件.
2、打开瑞星杀毒软件升级到最新版本,然后断开网络全盘查杀。
【病毒分析】:
该病毒用delphi语言编写,并且使用UPX加壳,具有以下行为
1、病毒首先会把自己复制到C:\Program Files\Internet Explorer\IEXPLORE.New同时生成一个Dll1文件IEXPLORE.win
2、病毒把IEXPLORE.win文件插入到Explore进程中保护自己,
3、病毒在注册表中中加入
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,在激活一个Shell事件时启动病毒。
4、病毒会从http://www.qqkx.com/cp/CPOpen.txt和http://www.qqkx.com/cp/CPDown.txt网站上下载并运行病毒。
【清除方法】:
1、进入注册表删除掉
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks注册表项。重启电脑。进入C:\Program Files\Internet Explorer文件夹,删除下面这两个文件:
IEXPLORE.New与IEXPLORE.win文件.
2、打开瑞星杀毒软件升级到最新版本,然后断开网络全盘查杀。
本文提供Adware.Winsdup.d病毒资料以及清除方法。
【病毒分析】:
该病毒使用VC6编写,属于广告类病毒,该病毒具有以下行为:
1、生成文件:
病毒运行后建立路径"%ProgramFiles%\winp",并在此路径释放如下文件:
code.dll;lexi.lex;play.dll;snet.dll;stdi.ini;stdl.ini;stub.dll;upiilex.ini;upme.ini;vote.dll
2、新建注册表信息:
HKLM\System\CurrentControlSet\Services\svcs = 新建子键
HKLM\System\CurrentControlSet\Services\svcs\Type = 0x110
HKLM\System\CurrentControlSet\Services\svcs\Start = 0x2
HKLM\System\CurrentControlSet\Services\svcs\ErrorControl = 0x1
HKLM\System\CurrentControlSet\Services\svcs\ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKLM\System\CurrentControlSet\Services\svcs\DisplayName = "Windows svcs RunThem"
HKLM\System\CurrentControlSet\Services\svcs\Security = 新建子键
HKLM\System\CurrentControlSet\Services\svcs\Security\Security = 01 00 14 80 A0 00 00 00 ...
HKLM\System\CurrentControlSet\Services\svcs\ObjectName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters = 新建子键
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters\ServiceDll = "C:\PROGRA~1\winp\snet.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718} = 新建子键
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\DisplayName = "Windows svcs UnInstall"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\UninstallString = "C:\WINNT\System32\rundll32.exe C:\PROGRA~1\winp\snet.dll,Service -u"
3、病毒尝试连接如下网址,并下载文件
update.borlander.cn
http://update.borlander.cn/upstdad5/updstdii.ini
http://update.borlander.cn/upstdad5/updstdix.ini
http://update.borlander.cn/upstdad5/updadini.ini
http://update.borlander.cn/upstdad5/updadlex.ini
www.borlander.com.cn
http://www.borlander.com.cn/jsp/gi.jsp?t=%d
4、病毒根据下载的文件中的信息,弹出IE显示指定的广告网页或进行点击
【清除方法】:
1、将瑞星卡卡上网安全助手升级到最新版本,进行恶意及流氓软件清理。
2、将瑞星杀毒软件升级到最新版本,全盘查杀。
【病毒分析】:
该病毒使用VC6编写,属于广告类病毒,该病毒具有以下行为:
1、生成文件:
病毒运行后建立路径"%ProgramFiles%\winp",并在此路径释放如下文件:
code.dll;lexi.lex;play.dll;snet.dll;stdi.ini;stdl.ini;stub.dll;upiilex.ini;upme.ini;vote.dll
2、新建注册表信息:
HKLM\System\CurrentControlSet\Services\svcs = 新建子键
HKLM\System\CurrentControlSet\Services\svcs\Type = 0x110
HKLM\System\CurrentControlSet\Services\svcs\Start = 0x2
HKLM\System\CurrentControlSet\Services\svcs\ErrorControl = 0x1
HKLM\System\CurrentControlSet\Services\svcs\ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKLM\System\CurrentControlSet\Services\svcs\DisplayName = "Windows svcs RunThem"
HKLM\System\CurrentControlSet\Services\svcs\Security = 新建子键
HKLM\System\CurrentControlSet\Services\svcs\Security\Security = 01 00 14 80 A0 00 00 00 ...
HKLM\System\CurrentControlSet\Services\svcs\ObjectName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters = 新建子键
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters\ServiceDll = "C:\PROGRA~1\winp\snet.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718} = 新建子键
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\DisplayName = "Windows svcs UnInstall"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\UninstallString = "C:\WINNT\System32\rundll32.exe C:\PROGRA~1\winp\snet.dll,Service -u"
3、病毒尝试连接如下网址,并下载文件
update.borlander.cn
http://update.borlander.cn/upstdad5/updstdii.ini
http://update.borlander.cn/upstdad5/updstdix.ini
http://update.borlander.cn/upstdad5/updadini.ini
http://update.borlander.cn/upstdad5/updadlex.ini
www.borlander.com.cn
http://www.borlander.com.cn/jsp/gi.jsp?t=%d
4、病毒根据下载的文件中的信息,弹出IE显示指定的广告网页或进行点击
【清除方法】:
1、将瑞星卡卡上网安全助手升级到最新版本,进行恶意及流氓软件清理。
2、将瑞星杀毒软件升级到最新版本,全盘查杀。
相关教程
| 颇能迷惑人的lssass.exe | |
| 关于Trojan.Win32.Agent.vti(aut | 从注册表下手 切断一切黑客入侵的 |
| 拔营起寨 针对插入式木马的清除方 | 易学快用 五招查出您想要知道的I |
| 实例讲解从概念走向应用的在线杀 | 举一反三 经典winlogon病毒查杀方 |