"中国黑客II"病毒分析 并手工查杀

原创 2006年05月22日 14:16:00

中国黑客II在我的地牌上混,招呼都不打一个!!!这点邻我很不爽!!!

招起家伙招呼它!KV 一通狂杀

结果这一杀就是3-4个小时 *.eml文件干掉好几千!晕这样也下去肯定自己就挂了

上网找专杀工具

好慢啊 (因为中国黑客的主进程runouce.exe占了20%--50%的CPU)!!

找到一个金山的专杀工具 试试? 哭 查不出来 但runouce.exe进程还明显的可以看到啊?

看来只有自己亲自招呼它了!

跟据以知资料 知道它是一个进程注入式病毒 注入 EXPLORER.EXE 与主进程RUNOUCE.EXE相照应

知道上面就够了 招家伙 System Safety Monitor (SSM)是一个很猛烈的工具

可不比IceSword(冰刃)差哦 关于使用自己找找资料吧

通过SSM的监视发现

中国黑客II 并不只是注入 EXPLORER.EXE 而且还注入了 taskmgr.exe!!想不到吧^_^

以下是详黑客II详细步骤

1>调用如下API

   ProtectVirtualMemor

   WriteProcessMemory

   CreateRemoteThread

进行对explorer.exe 与taskmrg.exe进行注入

成功运行后 每隔一些时间就会 调用 NET.EXE向电脑所在的网络(局域网)发送

“My god! Some one killed ChineseHacker-2 Moni”

之后还会调用 net1.exe重新发送 以确保成功发送

这个程序只是简单的注入其它进程 以达到启动的目得但是没有加载其它如SYS DLL这类的东西

所以我们清除起来也就简单多了

先进入CMD c:/winnt/system32目录 用attrib runouce.exe 查看隐藏的属性

然后用 attrib -s -h -r runouce.exe 去除隐藏的系统属性

只要打开SSM的 规则 右键 选 新增 在对话框中选 c:/winnt/system32/runouce.exe

然后 右键新加的规则 选 阻止

结束 runouce.exe进程 删除 system32/下的runouce.exe

最后 删除 注册表

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

下面的runouce.exe(不删也可以 反正它也启动不了了^_^)

重起试试没事了吧?

 

 

 

 

 

 

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

文件夹.exe 病毒手工查杀

  • 2014-09-12 10:56
  • 432KB
  • 下载

管家病毒查杀模块逆向分析

本文研究的是*管家2.8—3.6版本的杀毒模块功能实现。众所周知,杀毒软件查杀病毒分为主动查杀和被动查杀两种方式。*管家的主动查杀包括快速查收和全盘查杀,而快速查杀和全盘查杀都使用了本地查杀技术和云查...

病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御

前言       这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了...

病毒木马查杀实战第006篇:熊猫烧香之逆向分析(中)

一、前言         上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的。而越到核心部分,可能会遇到越来越多的AP...

病毒木马查杀实战第012篇:QQ盗号木马之逆向分析

一、前言         在本系列的文章中,对每一个病毒分析的最后一个部分,若无特殊情况,我都会采用逆向分析的手段来为读者彻底剖析目标病毒。但是之前的“熊猫烧香”病毒,我用了三篇文章的篇幅(每篇250...

病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)

一、前言         对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这...

病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)

一、前言         这次我们会接着上一篇的内容继续对病毒进行分析。分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如...

病毒木马查杀实战第003篇:熊猫烧香之行为分析

一、前言         为了分析“熊猫烧香”病毒的行为,我这里使用的是Process Monitor v3.10版。关于这款软件的使用,可参考以下三篇文章:         《文档翻译第001篇:P...

病毒木马查杀实战第016篇:U盘病毒之逆向分析

比对脱壳前后的程序       我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本。其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别。首先用IDA Pro载入原始病毒样本...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)