给大家 做一个 随机7位字母恶性u盘病毒手动杀毒教程
字串2
我这次选的样本是 mwtkwro.exe 感谢G-AVR群的 greysign 提供样本。 字串9
分2个大部分 第一部分 为 激活病毒 查看病毒行为 字串3
第二部分 手动杀毒全过程
字串8
所选工具有 冰刃 IceSword 等。 字串9
现在开始
激活 mwtkwro.exe ,生成以下病毒文件
C:\windows\system32\elmiysj.exe
C:\windows\system32\ddtshtk.exe
修改注册表 注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值: ohheopr
类型: REG_SZ
值: C:\windows\system32\elmiysj.exe (木马克星 检.测到 主动删除,我这里选 阻止。)
加入开机启动项
IFEO映像劫持 开始:dubugger 的值: C:\WINDOWS\system32\elmiysj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FYFireWall.exe 字串6
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe
中间说明这个:病毒检测到.木马克星运行中,ddtskshtk试图终止iparmor.允许后 iparmor 挂掉了。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPF.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webscanx.exe 字串5
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NPFMntor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsstat.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPfwSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
字串6
系统时间 早被改了1980年。。。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
连 autoruns 也.上榜了。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe 字串1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
以下不再一一列出。
字串2
进程:
路径: C:\WINDOWS\system32\elmiysj.exe
PID: 576
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000002 字串9
劫持很多啊 汗~
激活病毒先到这里。 字串1
下面开始杀毒。分2个视频.好了,防止出问题。。。 字串1
come on 这里加简单文字说明。注意看。开始
运行 ICESWORD ssm提示
父级进程:
路径: C:\WINDOWS\explorer.exe
PID: 1620
信息: Windows Explorer (Microsoft Corporation)
子级进程:
路径: C:\WINDOWS\system32\ddtshtk.exe
就是映像劫持咯,我们阻止。改名。
好了 已经终止了病毒进程 用is创建进程规则,禁止这2个。
下载开始删除病毒文件。你所看到 的ddtshtk.exe_iparmor 是木马可星 将ddtshtk.exe改了名字了,
如果无法删除 用冰刃 强制.删除,看。方法是这样的。
下面清理系统启动项目
。修复 IFEO 映像劫持
修复 IFEO 映像劫持 的批处理 之所以能运行,是因为 没有劫持 cmd 和regedit。
如果 以上都被劫持了 可以用 autoruns改名 运行。或者 regedit改名运行用系统自带的 删除。
清理完毕后,还要修复无法显示隐藏文件的问题 和删除每个分区下的病毒。
看来 c盘根目录下没有。
完毕。机器.有点卡 老是打 错字。sorry。感谢大家观看!
by nhxycfans 字串8
补充 忘记说 系统时间被改成了 1980年要改回去哦。
还有 安全模式被破坏 用sreng修复安全模式。
注册表修复, 补充工具: 金山反间谍2007 隐蔽软件扫描。
清理注册表 可以使用 CCleaner 。
字串7
QUOTE:
视频下载地址
part1 http://www.duote.net/30B24F731591724C 字串9
part2 http://www.duote.net/30B24F7315957C4C
字串8
说明:http://www.duote.net/30B24F7315A13A9C
做得不好的地方 请大家原谅! 昨天处理了 2例 随机8位字母和数字组合的,比这个要难处理一点。 字串9
随机8位字母和数字组合 的,大家可以 使用 金山毒霸反间谍2007 改名后运行 扫描隐蔽软件 清除。
修复 IFEO 映像劫持 ,可使用 论坛.置顶帖 收录的,尽快补充一个 2000系统的。 字串6
字串4
QUOTE:
IFEO映像挟持修复_FOR WINDOWS 2000 by shurenzhi
http://www.duote.net/31A6737317DF234C 字串3
这种病毒是利用浏览器的漏洞进行传播,我们在上网的时候最好用最新版浏览器看网页,新版浏览器浏览器下载地址:
随机7位字母恶性u盘病毒手动杀毒教程正文结束