昨天在单位遭遇威金木马病毒,可能是变种,手动杀之

最新推荐文章于 2022-08-31 12:46:54 发布
最新推荐文章于 2022-08-31 12:46:54 发布
阅读量1.2k 收藏
点赞数
分类专栏: 病毒木马分析 Windows开发相关 文章标签: exe c 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coding_hello/article/details/2915718
版权
    症状是任务管理器里有logon_1.exe或者rundl132.exe。简单分析后,发现所有的exe几乎都被感染,每个目录下有个_desktop.ini文件用于记录日期。explorer.exe进程中有dll.dll动态库。c:/windows/system32/drivers目录下有svchost.exe在开机时运行。

    杀毒比较简单:

    1.断了网线
    2.安全模式启动
    3.删除c:/windows/logon_1.exe,c:/windows/rundl132.exe,c:/windows/dll.dll
    4.删除c:/windows/system32/drivers/svchost.exe
    5.删除注册表中HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon项的Userinit字键中的c:/windows/system32/drivers/svchost.exe
    6.删除注册表中HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows项的load子键中 的c:/windows/system32/drivers/svchost.exe
    7.得写个程序还原被感染的exe文件。具体做法就是把exe文件前面的病毒体去掉,长度忘了,就是logon_1.exe的大小,大概是0x84xA字节,反正看到后面接着就是'MZ'就对了。
野男孩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深透研究病毒3—威金病毒
ss527300的博客
07-24 789
大家好,我是小风,经过辣条哥的指点,我决定给大家配配图,在此感谢辣条哥,大家可以去关注关注辣条哥,他的号叫做:五包辣条! 今天我们来讲06年一种国内常见的、令人厌恶的、臭名昭著的熊猫烧香的亲戚—威金病毒,说真的,我认为,熊猫就是威金病毒的变种。话不多说,我们现在开始。 威金病毒,原名:Worm.Viking.dr,属蠕虫病毒类,它的变种有八百多个,其中,最臭名昭著的就是李俊编写的变种:熊猫烧香。 如今网上只有熊猫变种的图片,等破一万粉,我就开始虚拟机运行来拍给你们看看,现在我就上网找张凑个数吧。 感染系统
一个感染型木马病毒分析(一)
Fly20141201. 的专栏
08-04 6681
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
一个感染性木马病毒分析(三)--文件的修复
liujiayu2的专栏
10-24 1592
一、 序言 前面的分析一个感染型木马病毒分析(二)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。   二、文件感染方式的分析 之前感染性木马病毒的分析中,已经提到了病毒对于用户文件的感染方式有2种,分别是加密文件和感染文件传播病毒,至于文件感染的时候采取
resvr.exe 电脑病毒清理
tnb_ml的博客
08-31 646
1、拷贝病毒母体文件resvr.exe自身到C:\Program Files\Common Files\Microsoft Shared目录下设置其属性为系统属性隐藏并运行创建C:\Program Files\Common Files\Microsoft Shared\resvr.exe进程。电脑感染了此病毒的典型的特征是系统逻辑盘里的.doc、.xls、.jpg、.rar格式的文件会被隐藏起来变成.exe格式的病毒文件。,如果一台干净的系统,只要运行一次感染病毒的文件,你的电脑里的其它文件就将被感染。..
木马与病毒
03-26
世界在发展,如木马与病毒在逐渐融合,毒软件与木马专工具的资源也在共享。金山毒霸就有金山的木马专工具相辅,360 安全卫士也推出了 360 毒软件。这些,都为你的电脑安全提供了保障。 木马和病毒是计算机...
C++木马病毒的查设计与实现(含源码)
12-04
在IT行业中,木马病毒是计算机安全领域的一大挑战。C++作为一门强大的编程语言,被广泛用于编写各类软件,包括恶意软件。本话题主要探讨的是如何利用C++技术设计和实现一个木马病毒的查工具,这涉及到多个重要的...
威金病毒专工具集合
01-12
"logo1自制专程序.rar"可能是一个专门设计用来清除威金病毒的自制工具,它可能包含了特定的查算法,能够识别并消除威金病毒的各个变种。在使用这类工具时,首先需要确保电脑处于安全模式,然后运行专程序进行...
安全相关-病毒防治-瑞星威金Worm.Viking病毒专工具 v1.6.zip
09-15
【标题】"安全相关-病毒防治-瑞星威金Worm.Viking病毒专工具 v1.6.zip" 涉及的是一个专门针对威金(Worm.Viking)病毒的清除工具,由知名安全软件厂商瑞星开发。威金病毒是一种广泛传播的计算机蠕虫病毒,对网络...
病毒?Or!木马?
Agnes-井朝
05-15 1191
网络是安全的?是不安全的?医院有医院发的愁,公安有公安发的愁,政府部门也跟着发愁,各个大学也发愁。   这个网址是什么?win10补丁。可是进不去,太恐慌,访问的人太多了。  在这次“大战”中,小编抽取了几个关键词,让你更了解“勒索者”!病毒  · 蠕虫病毒  用蠕虫病毒是黑客们一个惯用手段,利用网络进行复制,通过电子邮件,下载等方式进行传播。  在全球十大病毒中NO.2”梅丽莎(Melissa)
互联网做项目,一定要注意网络安全,不能中蠕虫ramnit.x病毒!
热门推荐
青峰客
05-18 2万+
    今远程操作国外客户电脑的时候,发现其电脑中了病毒!蠕虫病毒,virus.win32.ramnit.x,软件刚开始还能使用,接着在用的时候就会失灵,仔细一看感染病毒了! virus.win32.ramnit.x病毒感染全盘EXE HTM HTML DLL文件,感染后的EXE运行后会在该EXE同目录下生成一个55kb或111kb大小的无图标病毒文件(55kb是第一次运行,第二次运行就变成...
一个感染型木马病毒分析(二)
Fly20141201. 的专栏
08-12 4397
作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明,直观感受一下病毒的感染性、木马性质。   0x2病毒木马性的分析---远程
修复被“磁盘自动运行”类病毒感染的电脑
Steven的博客
10-11 2404
由于最近接手的机器都是由于感染“磁盘自动运行”类病毒而送修的,所以在这里将对此类问题提供一个相对完善的解决方案。 一、“磁盘自动运行”类病毒 所谓“磁盘自动运行”类病毒指的是在感染初始阶段在每个磁盘(包括U盘、内存卡和移动磁盘在内的相关存储介质)目录下生成名称为“Autorun.inf”(不含引号)以及一个可执行的病毒文件;当电脑使用者在Windows的资源管理器中双击被感染的磁盘后,根目录下
如何判断电脑已感染“磁碟机”病毒?
weixin_33694172的博客
03-23 150
1. 某些常用安全软件打不开,打开后立即被关闭,或者打开后有被“分尸”的现象,这是由于病毒不断向这些软件发送垃圾消息导致他们不能响应正常的用户指令导致。   Icesword被破坏 Sreng被破坏   2.安全模式被破坏。用户试图进入安全模式时,显示的是蓝屏,这是由于病毒删除了与安全模式相关的注册表键导致   3.无法正常显示隐...
html感染型病毒
a439017985的博客
10-16 2万+
病毒种类:该病毒属于ramnit感染型病毒。 中毒症状:会在html文件最后强制插入一下代码,并感染全盘html文档。 DropFileName = "svchost.exe" WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值