"中国黑客II"病毒分析 并手工查杀

3394人阅读 评论(0) 收藏 举报

中国黑客II在我的地牌上混,招呼都不打一个!!!这点邻我很不爽!!!

招起家伙招呼它!KV 一通狂杀

结果这一杀就是3-4个小时 *.eml文件干掉好几千!晕这样也下去肯定自己就挂了

上网找专杀工具

好慢啊 (因为中国黑客的主进程runouce.exe占了20%--50%的CPU)!!

找到一个金山的专杀工具 试试? 哭 查不出来 但runouce.exe进程还明显的可以看到啊?

看来只有自己亲自招呼它了!

跟据以知资料 知道它是一个进程注入式病毒 注入 EXPLORER.EXE 与主进程RUNOUCE.EXE相照应

知道上面就够了 招家伙 System Safety Monitor (SSM)是一个很猛烈的工具

可不比IceSword(冰刃)差哦 关于使用自己找找资料吧

通过SSM的监视发现

中国黑客II 并不只是注入 EXPLORER.EXE 而且还注入了 taskmgr.exe!!想不到吧^_^

以下是详黑客II详细步骤

1>调用如下API

   ProtectVirtualMemor

   WriteProcessMemory

   CreateRemoteThread

进行对explorer.exe 与taskmrg.exe进行注入

成功运行后 每隔一些时间就会 调用 NET.EXE向电脑所在的网络(局域网)发送

“My god! Some one killed ChineseHacker-2 Moni”

之后还会调用 net1.exe重新发送 以确保成功发送

这个程序只是简单的注入其它进程 以达到启动的目得但是没有加载其它如SYS DLL这类的东西

所以我们清除起来也就简单多了

先进入CMD c:/winnt/system32目录 用attrib runouce.exe 查看隐藏的属性

然后用 attrib -s -h -r runouce.exe 去除隐藏的系统属性

只要打开SSM的 规则 右键 选 新增 在对话框中选 c:/winnt/system32/runouce.exe

然后 右键新加的规则 选 阻止

结束 runouce.exe进程 删除 system32/下的runouce.exe

最后 删除 注册表

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

下面的runouce.exe(不删也可以 反正它也启动不了了^_^)

重起试试没事了吧?

 

 

 

 

 

 

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:889483次
    • 积分:12588
    • 等级:
    • 排名:第1095名
    • 原创:341篇
    • 转载:92篇
    • 译文:2篇
    • 评论:267条
    文章存档
    最新评论