这个病毒要把我搞疯了
本小菜的一个朋友的电脑最近中了一个病毒,名叫'美女游戏',中了后,具体表现为有个DOS图标,名为美女游戏,删除不掉,,用粉碎也不行..所有应用程序打不开,包括杀毒软件,但是软件刚安装上时可用,,但一重启即不可用,而且电脑会越来越慢,直至最后连开个机都要半小时以上,,,小菜对于这个病毒采取了一些措施,:起先,我只是用正版金山和瑞星杀了,,都杀不出来,最后用卡巴杀,只能查出来而杀不掉,后来,我索性重装系统,(经实践,系统盘无中毒),但重装后,病毒依然存在,因此我当时想,可能是其他盘也感染了吧,于是,在朋友同意下,又把所有的盘都格了,再重装下,,,启动后,,看下进程,病毒依然在,,而且不久后也表现出同样的中毒情况,.
小菜这就郁闷了,所有的盘都格了,,病毒还能存在于哪,杀望各位师父师兄们帮忙解释下这个现象... 呵呵,,,谢谢了,,,我马上去试下,,, HEHE 如此厉害阿 如果我没有记错,请参照以下方法进行解救:
以下为病毒动作特征:
1,创建文件
2,创建进程
3,使用net stop命令,结束可能存在的杀毒软件服务
4,调用sc.exe,windows系统自带的rootkit工具
config [对应服务] start=disabled
禁用服务,sharedaccess(此即系统自带防火墙)
5,禁止或结束杀毒软件,防火墙进程运行,例如
用FindWindowA函数,捕捉标题为"瑞星提示"的窗口
用FindWindowExA函数,找到其中“是(&Y)”的按钮
用SendMessageA函数向系统发送信息,相当于按下此按钮
6,
创建noruns.reg,并导入注册表,之后删除此文件。导入内容:
"NoDriveTypeAutoRun"=dword:b5
改变驱动器的autorun方式
修改注册表,创建启动项:
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe>
<gfosdg><C:\WINDOWS\system32\severe.exe>
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe>
为预防杀毒软件的注册表监控提示,故伎重施,例如:
用FindWindowA函数捕捉标题为“瑞星注册表监控提示”的窗口
用mouse_event控制鼠标自动选择允许修改。
访问注册表
CheckedValue键
破坏显示隐藏文件的功能(这一点在我的虚拟机中没有实现,可能是被TINY或SSM默认阻止了)
7,杀手锏-映射其它应用程序到病毒程序
在注册表
创建以安全软件程序名为名的子项
子项中创建子键
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
使得这些程序在被双击运行时,均会转为运行病毒文件mpnxyl.exe
形如:
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
这样运行PFW.exe的时候就是运行病毒程序mpnxyl.exe
8,修改hosts文件,屏蔽杀毒软件厂商的网站
9,改日期
hx1.bat内容:
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0
10,改autorun.inf和右键打开功能
autorun.inf的内容:
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe
这样右键打开磁盘的时候还是打开病毒程序
[ 本帖最后由 gdyyhk 于 2007-4-17 12:01 编辑 ] 应该是交叉感染了吧 理论上没有盘全格还删不掉的毒吧~
页:
[1]