快捷導(dǎo)航

水牛(shuiniu.exe)手工查殺方法不用專殺工具

更新時(shí)間：2007年11月21日 19:25:14 作者：

這是一個(gè)可以通過(guò)移動(dòng)存儲(chǔ)傳播的惡性病毒，具有反病毒軟件和下載木馬的功能，且病毒采用了向svchost.exe注入病毒代碼的方法保護(hù)自身，使其發(fā)現(xiàn)和刪除更加困難，因其主文件名“ShuiNiu.exe”，因此稱病毒為“水?！辈《?。

Quote:
File: ShuiNiu.exe
Size: 22069 bytes
Modified: 2007年11月5日, 10:13:38
MD5: 1FA97A5E1766D6E668321838A6F3E536
SHA1: 94388083FB1CDD3003FE13046BC817AB0F6D7FD0
CRC32: 1D66BFAB

技術(shù)細(xì)節(jié)：

1.病毒運(yùn)行后，釋放如下副本：
%systemroot%\system32\ShuiNiu.exe

并向可移動(dòng)存儲(chǔ)中寫(xiě)入ShuiNiu.exe和autorun.inf達(dá)到通過(guò)U盤(pán)等移動(dòng)存儲(chǔ)傳播的目的

2.調(diào)用Cmd，把系統(tǒng)時(shí)間改為2005-10-31

3.刪除如下鍵
SYSTEM\CurrentControlSet\Control\SafeBoot\MinimalSYSTEM\ControlSet001\Control\SafeBoot\NetworkSYSTEM\ControlSet001\Control\SafeBoot\Minimal\

破壞安全模式

4.添加映像劫持項(xiàng)目劫持一些安全軟件到

%systemroot%\system32\ShuiNiu.exe

Code:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exeKPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
WoptiClean.exe

5.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下面添加

<DsNiu><%systemroot%\system32\ShuiNiu.exe> []

的啟動(dòng)項(xiàng)目達(dá)到開(kāi)機(jī)啟動(dòng)的目的

6.啟動(dòng)IE下載
http://www.huigui.org/UpFile/UpFace/bak.exe

但連接已失效

7.病毒運(yùn)行后釋放~DsNiu!.bat 刪除自身

8.之后的動(dòng)作也是病毒比較毒辣的一點(diǎn)，當(dāng)完成上述這些動(dòng)作后，病毒會(huì)啟動(dòng)兩個(gè)svchost.exe，并將自身的病毒代碼寫(xiě)入這兩個(gè)svchost.exe進(jìn)程之中，之后ShuiNiu.exe退出進(jìn)程。
這兩個(gè)svchost.exe會(huì)互相監(jiān)視對(duì)方，且此時(shí)的ShuiNiu.exe也無(wú)法刪除 ...

9.病毒體內(nèi)有文字“FUCK YOU”

　　手動(dòng)解決辦法：

下載sreng和Xdelbox

　　1.解壓Xdelbox壓縮包內(nèi)所有文件到一個(gè)文件夾,在添加旁邊的框中分別輸入c:\windows\system32\ShuiNiu.exe

　　輸入完一個(gè)以后點(diǎn)擊旁邊的添加按鈕被添加的文件將出現(xiàn)在下面的大框中,然后一次性選中（按住ctrl)下面大框中所有的文件,右鍵單擊點(diǎn)擊重啟立即刪除

　　2.重啟后,打開(kāi)sreng

　　啟動(dòng)項(xiàng)目注冊(cè)表刪除如下項(xiàng)目
　　<DsNiu><%systemroot%\system32\ShuiNiu.exe> []

　　并刪除所有紅色的IFEO劫持項(xiàng)目

　　還是sreng中，系統(tǒng)修復(fù)-高級(jí)修復(fù)-修復(fù)安全模式

　　3.最后把系統(tǒng)時(shí)間改正確