快捷導(dǎo)航

對(duì)于最近出現(xiàn)的Death.exe病毒及其變種的手工查殺辦法不用專殺工具

更新時(shí)間：2007年11月28日 22:22:41 作者：

病毒癥狀：

　　殺毒軟件被禁用、隱藏文件無(wú)法顯示、開始命令msconfig無(wú)法運(yùn)行、很多輔助軟件也無(wú)法運(yùn)行，運(yùn)行EXE以及SCR 文件后被病毒的感染

　　手動(dòng)查殺用到的軟件：

　　SRENG軟件以及XDELBOX軟件

　　
Quote:
病毒名稱：Trojan-Downloader.Win32.Agent.****
　　病毒類型：木馬
　　病毒MD5：2ccd81d7d358778b11de9303e0097d2d
　　加殼類型：UPX
　　編寫語(yǔ)言：Borland Delphi 6.0 - 7.0

　　病毒運(yùn)行

　　生成進(jìn)程：

　　
Code:
C:\WINDOWS\system32\Death.exe
　　C:\WINDOWS\system32\Supervise.exe

　　釋放文件
　　
Code:
C:\WINDOWS\system32\Supervise.exe（這個(gè)Supervise.exe調(diào)用net.exe執(zhí)行局域網(wǎng)絡(luò)的感染，并且創(chuàng)建文件：%system32%\Death.SiShen，將病毒信息寫進(jìn)此文件）
（此進(jìn)程還會(huì)Supervise.exe開啟端口連接網(wǎng)絡(luò)下載木馬?。?！真是可惡）
　　C:\WINDOWS\system32\Death.SiShen
　　C:\WINDOWS\system32\Death.exe（這個(gè)進(jìn)程生成Supervise.exe文件）
　　C:\WINDOWS\system32\Death.SiShen

　　以及每個(gè)盤根目錄下有ANTO隱藏文件

　　雙擊硬盤也會(huì)導(dǎo)致病毒運(yùn)行請(qǐng)大家點(diǎn)右鍵--打開

修改注冊(cè)表

　　
Code:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
　　[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe"
　　[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000

　　搜索嘗試關(guān)閉殺毒軟件以及輔助軟件的窗口

　　嘗試關(guān)閉殺毒軟件以及輔助軟件等進(jìn)程

　　搜索感染除系統(tǒng)盤以外的 .exe/.scr 文件.
　　受感染的 .exe/.scr 文件直接被替換.. 大小為:81,928 字節(jié) ..這樣一來(lái)所有的 .exe/.scr 文件全部無(wú)法恢復(fù).運(yùn)行被感染的exe文件后，將釋放病毒！

　　可以通過(guò)區(qū)域網(wǎng)傳播(death.exe)

手動(dòng)刪除方法：

　　1：關(guān)閉系統(tǒng)還原清空IE臨時(shí)文件夾

　　2：進(jìn)安全模式

　　終止進(jìn)程Death.exe進(jìn)程

　　3：用XDELBOX軟件鉤上抑制再生后刪除以下文件：

　　
Code:
C:\WINDOWS\system32\Death.exe
　　C:\WINDOWS\system32\Supervise.exe
　　C:\WINDOWS\system32\Death.SiShen
　　C:\WINDOWS\system32\Death.SiShen

　　4：打開SRENG軟件在啟動(dòng)中刪除以下啟動(dòng)：

　　
Code:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe" .

　　------SRENG軟件在系統(tǒng)修復(fù)--全選--修復(fù)

　　-----或者打開注冊(cè)表開始運(yùn)行--REGEDIT-修改項(xiàng)直
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1

　　------有部分病毒變種會(huì)直接把這個(gè)CheckedValue給刪掉，只需和下面一樣，自己再重新建一個(gè)就可以了（步驟：刪除此CheckedValue鍵值，單擊右鍵新建——Dword值——命名為“CheckedValue”，修改鍵值為1）

　　--重起

　　------手動(dòng)刪除每個(gè)盤下面的AUTO隱藏文件

　　------重起（不要點(diǎn)被感染的EXE、SCR文件！?。?

　　------安全模式下殺毒軟件掃描刪除病毒殘留感染文件以及配合360修復(fù)系統(tǒng)

　　--重起 OK