常见病毒资料及清除方法
作者:未知 日期:2007-9-22 7:45:49 来源:未知 点击:次 评论
大猩猩病毒Win32/DaXingXing.a解决方案
大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。
删除C:\windows\System32\winfuckjp.exe
删除注册表项值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
"Debugger" = c:\winnt\system32\winfuckjp.exe
重置hosts文件,解决无法访问杀毒软件主页
病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,同样删除
此病毒会破坏系统,阻止进入安全模式,所以用Administrator账户登陆,还原注册表,再执行以上操作,并且重新安装被病毒破坏的应用程序
大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。
删除C:\windows\System32\winfuckjp.exe
删除注册表项值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
"Debugger" = c:\winnt\system32\winfuckjp.exe
重置hosts文件,解决无法访问杀毒软件主页
病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,同样删除
此病毒会破坏系统,阻止进入安全模式,所以用Administrator账户登陆,还原注册表,再执行以上操作,并且重新安装被病毒破坏的应用程序
S168.EXE病毒资料以及清除方法
处理这个病毒比较棘手。
原因在于多个DLL插入应用程序进程。若强制卸除Explorer.EXE进程中的病毒模块,易导致系统假死,难以进行后续杀毒操作。
此外,这个病毒关闭瑞星所有监控,任务栏中的瑞星图标消失;病毒还在瑞星安装目录下建立名为WS2_32.dll的畸形文件夹,导致瑞星杀软不能正常加载运行。
中毒后,SRENG日志可见下列异常:
注册表
启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{5c7596cb-51CC-5bA3-be52-6eea62f9c51c}>
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}> [Microsoft Corporation]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}> []
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}> []
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}> []
正在运行的进程
[PID: 1036][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\Program Files\Internet Explorer\rksldk.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[PID: 2404][C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe] [Cyberlink, 5.00.1524]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
[PID: 2460][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[PID: 3632][C:\Documents and Settings\Lenovo\桌面\SREngPS.EXE] [Smallfrogs Studio, 2.5.16.900]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
我的杀毒流程:
1、将下列DLL录入SSM规则,禁止其加载运行:
C:\windows\system32\mhdoor0.dll
C:\windows\system32\wodoor0.dll
C:\windows\system32\jtdoor0.dll
C:\windows\system32\wldoor0.dll
C:\windows\system32\wgdoor0.dll
C:\windows\system32\dadoor0.dll
C:\windows\system32\ztdoor0.dll
2、重启后删除SRENG日志所见的病毒启动项。
3、删除病毒文件。
注:
(1)C:\Program Files\Common Files\goskdl.dll这个病毒文件比较特殊——须改名后才能删除。
(2)瑞星安装目录下的WS2_32.dll畸形文件夹须用IceSword强制删除。
此外,还要删除下列注册表内容(均为病毒添加):
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ReliveHookDLL
HKEY_CLASSES_ROOT\CLSID\{3422FB0F-95EB-458A-8B56-39552017A4EF}
HKEY_CLASSES_ROOT\CLSID\{5731EA1D-4DE9-BDDA-6AAF-7B390A75B286}
HKEY_CLASSES_ROOT\CLSID\{5C7596CB-51CC-5BA3-BE52-6EEA62F9C51C}
HKEY_CLASSES_ROOT\CLSID\{71046DD5-4C4B-A6B5-E136-91C30CB15291}
HKEY_CLASSES_ROOT\CLSID\{71046DD5-E136-4C4B-A6B5-91C30CB15291}
HKEY_CLASSES_ROOT\CLSID\{A3C95A74-4C6B-A856-638D-4B27664A7F47}
HKEY_CLASSES_ROOT\CLSID\{A3C95A74-638D-4C6B-A856-4B27664A7F47}
HKEY_CLASSES_ROOT\CLSID\{D8CC4845-441C-44F8-9053-28F2EF67655B}
HKEY_CLASSES_ROOT\CLSID\{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}
HKEY_CLASSES_ROOT\CLSID\{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}
HKEY_CLASSES_ROOT\CLSID\{E03C23BD-49C2-BBCA-35B7-6D8CEC2507E3}
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}
处理这个病毒比较棘手。
原因在于多个DLL插入应用程序进程。若强制卸除Explorer.EXE进程中的病毒模块,易导致系统假死,难以进行后续杀毒操作。
此外,这个病毒关闭瑞星所有监控,任务栏中的瑞星图标消失;病毒还在瑞星安装目录下建立名为WS2_32.dll的畸形文件夹,导致瑞星杀软不能正常加载运行。
中毒后,SRENG日志可见下列异常:
注册表
启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{5c7596cb-51CC-5bA3-be52-6eea62f9c51c}>
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}>
<{3422FB0F-95EB-458A-8B56-39552017A4EF}>
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}>
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}>
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}>
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}>
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}>
<{D8CC4845-441C-44F8-9053-28F2EF67655B}>
正在运行的进程
[PID: 1036][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\Program Files\Internet Explorer\rksldk.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[PID: 2404][C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe] [Cyberlink, 5.00.1524]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
[PID: 2460][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[PID: 3632][C:\Documents and Settings\Lenovo\桌面\SREngPS.EXE] [Smallfrogs Studio, 2.5.16.900]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
我的杀毒流程:
1、将下列DLL录入SSM规则,禁止其加载运行:
C:\windows\system32\mhdoor0.dll
C:\windows\system32\wodoor0.dll
C:\windows\system32\jtdoor0.dll
C:\windows\system32\wldoor0.dll
C:\windows\system32\wgdoor0.dll
C:\windows\system32\dadoor0.dll
C:\windows\system32\ztdoor0.dll
2、重启后删除SRENG日志所见的病毒启动项。
3、删除病毒文件。
注:
(1)C:\Program Files\Common Files\goskdl.dll这个病毒文件比较特殊——须改名后才能删除。
(2)瑞星安装目录下的WS2_32.dll畸形文件夹须用IceSword强制删除。
此外,还要删除下列注册表内容(均为病毒添加):
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ReliveHookDLL
HKEY_CLASSES_ROOT\CLSID\{3422FB0F-95EB-458A-8B56-39552017A4EF}
HKEY_CLASSES_ROOT\CLSID\{5731EA1D-4DE9-BDDA-6AAF-7B390A75B286}
HKEY_CLASSES_ROOT\CLSID\{5C7596CB-51CC-5BA3-BE52-6EEA62F9C51C}
HKEY_CLASSES_ROOT\CLSID\{71046DD5-4C4B-A6B5-E136-91C30CB15291}
HKEY_CLASSES_ROOT\CLSID\{71046DD5-E136-4C4B-A6B5-91C30CB15291}
HKEY_CLASSES_ROOT\CLSID\{A3C95A74-4C6B-A856-638D-4B27664A7F47}
HKEY_CLASSES_ROOT\CLSID\{A3C95A74-638D-4C6B-A856-4B27664A7F47}
HKEY_CLASSES_ROOT\CLSID\{D8CC4845-441C-44F8-9053-28F2EF67655B}
HKEY_CLASSES_ROOT\CLSID\{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}
HKEY_CLASSES_ROOT\CLSID\{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}
HKEY_CLASSES_ROOT\CLSID\{E03C23BD-49C2-BBCA-35B7-6D8CEC2507E3}
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}
相关教程