"中国黑客II"病毒分析 并手工查杀

原创 2006年05月22日 14:16:00

中国黑客II在我的地牌上混,招呼都不打一个!!!这点邻我很不爽!!!

招起家伙招呼它!KV 一通狂杀

结果这一杀就是3-4个小时 *.eml文件干掉好几千!晕这样也下去肯定自己就挂了

上网找专杀工具

好慢啊 (因为中国黑客的主进程runouce.exe占了20%--50%的CPU)!!

找到一个金山的专杀工具 试试? 哭 查不出来 但runouce.exe进程还明显的可以看到啊?

看来只有自己亲自招呼它了!

跟据以知资料 知道它是一个进程注入式病毒 注入 EXPLORER.EXE 与主进程RUNOUCE.EXE相照应

知道上面就够了 招家伙 System Safety Monitor (SSM)是一个很猛烈的工具

可不比IceSword(冰刃)差哦 关于使用自己找找资料吧

通过SSM的监视发现

中国黑客II 并不只是注入 EXPLORER.EXE 而且还注入了 taskmgr.exe!!想不到吧^_^

以下是详黑客II详细步骤

1>调用如下API

   ProtectVirtualMemor

   WriteProcessMemory

   CreateRemoteThread

进行对explorer.exe 与taskmrg.exe进行注入

成功运行后 每隔一些时间就会 调用 NET.EXE向电脑所在的网络(局域网)发送

“My god! Some one killed ChineseHacker-2 Moni”

之后还会调用 net1.exe重新发送 以确保成功发送

这个程序只是简单的注入其它进程 以达到启动的目得但是没有加载其它如SYS DLL这类的东西

所以我们清除起来也就简单多了

先进入CMD c:/winnt/system32目录 用attrib runouce.exe 查看隐藏的属性

然后用 attrib -s -h -r runouce.exe 去除隐藏的系统属性

只要打开SSM的 规则 右键 选 新增 在对话框中选 c:/winnt/system32/runouce.exe

然后 右键新加的规则 选 阻止

结束 runouce.exe进程 删除 system32/下的runouce.exe

最后 删除 注册表

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

下面的runouce.exe(不删也可以 反正它也启动不了了^_^)

重起试试没事了吧?

 

 

 

 

 

 

杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 )

杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 ) 无意中在网上看到的,描述通俗易懂,基本全是基础知识,权当了解吧。 =============...
  • leolewin
  • leolewin
  • 2015年08月21日 20:41
  • 2094

Android----病毒查杀原理及应用

今天看到一篇帖子,是关于病毒查杀的问题,那片帖子写的很详细,将原理都讲述出来了,后来根据帖子的代码自己实例验证了一下,发现是可行的,所以,现在就记录一下学习的过程。(此文有借鉴的地方,关键是大家能学到...
  • xuewater
  • xuewater
  • 2013年11月04日 10:33
  • 1133

病毒木马查杀实战第002篇:熊猫烧香之手动查杀

一、前言         作为本系列研究的开始,我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒,主要是因为它具有一定的代表性。一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都...
  • ioio_jy
  • ioio_jy
  • 2014年11月03日 14:06
  • 2707

病毒木马查杀实战第006篇:熊猫烧香之逆向分析(中)

一、前言         上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的。而越到核心部分,可能会遇到越来越多的AP...
  • ioio_jy
  • ioio_jy
  • 2014年11月18日 15:11
  • 2256

病毒木马查杀实战第021篇:Ring3层主动防御之编程实现

前言       我们这次会依据上次的内容,编程实现一个Ring3层的简单的主动防御软件。整个程序使用MFC实现,程序开始监控时,会将DLL程序注入到explorer.exe进程中,这样每当有新的进程...
  • ioio_jy
  • ioio_jy
  • 2016年04月20日 15:16
  • 11975

安装ClamAV对centos系统进行病毒查杀

安装ClamAV 1.安装epel源 yum install epel-release 在安装了EPEL源后,运行下面的命令安装ClamAV # yum install clamav-ser...
  • reblue520
  • reblue520
  • 2017年03月07日 12:20
  • 405

手动查杀病毒的第一课

今天看了下Windows下手动查杀病毒的教程。将心得写下来,以便后面复习使用。 首先,手动查杀病毒的步骤如下:  1,查内存,排查可疑进程。目的是为了将病毒从内存中干掉;  2,查启动项,删除病毒启动...
  • HK_5788
  • HK_5788
  • 2015年09月28日 23:57
  • 2052

病毒木马查杀实战第019篇:病毒特征码查杀之编程实现

一、前言上次我们已经简单介绍过了病毒特征码提取的基本方法,那么这次我们就通过编程来实现对于病毒的特征码查杀。 二、定义特征码存储结构为了简单起见,这次我们使用的是setup.exe以及unpacked...
  • ioio_jy
  • ioio_jy
  • 2016年04月20日 14:32
  • 12773

如何正确有效清除jwgkvsq.vmx病毒

电脑染上这个可恶的病毒很长时间了,一直懒得弄。主要是除了每次插U盘都会在U盘下生成隐藏的RECYCLER文件夹和autorun.inf之外,好像并没有危害过我别的东西。可每次拿我的U盘去别人电脑那里总...
  • shuizhuw
  • shuizhuw
  • 2013年10月16日 20:39
  • 799

记一次Linux服务器上查杀木马经历

转载自:http://www.cnblogs.com/kerrycode/p/4754820.html 开篇前言      Linux服务器一直给我们的印象是安全、稳定、可靠,性能卓越。由...
  • u012377333
  • u012377333
  • 2015年08月29日 10:32
  • 4003
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:"中国黑客II"病毒分析 并手工查杀
举报原因:
原因补充:

(最多只允许输入30个字)