msconfig32.exe(Dropper.Win32.Agent.nzi)

最新推荐文章于 2022-02-25 21:57:21 发布
最新推荐文章于 2022-02-25 21:57:21 发布
阅读量690 收藏
点赞数
分类专栏: ╃反病毒频道=- 文章标签: c manager 磁盘 网络 object 浏览器

文件名称:syscopy.exe

文件大小:426783 bytes

AV命名:Dropper.Win32.Agent.nzi(瑞星)

加壳方式:

编写语言:VC

病毒类型:捆绑型

文件MD5:45eb42ff98e5ea60f83f259582506430

文件SHA1:e3e21cf73278a2a7bba6eaa9c090e6d2a9941d34

传播方式:U盘等移动介质、网络。

行为分析:

1、释放病毒文件:

C:/Windows/system32/CAManager.exe    53248 字节
C:/Windows/system32/dcomdiag.exe    192512 字节
C:/Windows/system32/eventviewer.exe    94208 字节
C:/Windows/system32/explore.exe    113418 字节
C:/Windows/system32/LogicStorageMon.exe    57344 字节
C:/Windows/system32/msconfig32.exe    81920 字节
C:/Windows/system32/ReDevMonitor.exe    53248 字节
C:/Windows/system32/syscopy.exe    426783 字节

2、遍历分区,查找可用磁盘,在其目录下生成:Autorun.inf和msconfig32.exe

如果双击磁盘,则激活病毒!

3、连接74.220.202.29(http://www.siekia.com/)获得下载列表,下载木马。

例如:

CAManager.exe
LogicStorageMon.exe
ReDevMonitor.exe
dcomdiag.exe
eventviewer.exe
explore.exe
syslog.exe
libmcrypt.dll
hkcmdi.exe

不过未下全。

4、对E盘文件*.exe进行捆绑感染(其他盘未发现),被捆绑的文件增加238000多字节。

在感染文件尾部记录了一些简单的信息,避免反复感染。

5、病毒使用进程守护技术,相互依赖,每隔一段时间激活对方。

乱乱的``好像4进程守护吧。。(8记得了``)

6、进程守护中的其中3个连接74.220.202.29监听3813、3858、3903端口。

如本地病毒文件被删除,则重新下载。

7、CAManager.exe、LogicStorageMon.exe、ReDevMonitor.exe注册系统服务,开机自启。

解决方法:

下载冰刃和SREng(点击进入下载页面):

SREng2.5

冰刃

1、关闭不需要进程,断开网络!

2、打开PowerRmv,勾选“抑制对方再次生成”。填入下面路径(一次填一个):

C:/Windows/system32/syscopy.exe
C:/Windows/system32/dcomdiag.exe
C:/Windows/system32/explore.exe
C:/Windows/system32/CAManager.exe
C:/Windows/system32/eventviewer.exe
C:/Windows/system32/msconfig32.exe
C:/Windows/system32/LogicStorageMon.exe
C:/Windows/system32/ReDevMonitor

C:/msconfig32.exe
C:/Autorun.inf
D:/msconfig32.exe
D:/Autorun.inf
E:/msconfig32.exe
E:/Autorun.inf
F:/msconfig32.exe
F:/Autorun.inf

(这些不要漏了!)

PS:如果是2000或ME系统的话,把C:/Windows/换成C:/Winnt/

3、打开SREng,删除:

服务

[CA Certification Manager / CAManager][Running/Auto Start]
   <C:/winnt/system32/CAManager.exe><N/A>


[Logical Storage Monitor / LogicStorageMon][Running/Auto Start]
   <C:/winnt/system32/LogicStorageMon.exe><N/A>


[Removable Device Monitor / ReDevMonitor][Running/Auto Start]
   <C:/winnt/system32/ReDevMonitor.exe><N/A>

浏览器加载项:

[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:/Program Files/Common Files/CPUSH/cpush.dll, >

(流氓软件带来的)

4、建议下载360安全卫士,清除下载的流氓软件CPUSH。

这个比较恶心,写入多项注册表,手工清除比较头疼。

5、升级杀软最高版本,全盘扫(杀软应该可以修复被捆绑文件)``

 
lost629x
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DW15.exe是什么文件-.docx
09-26
5. **使用专杀工具**:在完成上述步骤后,重启计算机进入正常模式,使用专门针对Dropper.Gpigeon这类病毒的清除工具进行深度清理。 总的来说,DW15.exe是一个合法的微软组件,但同时也可能成为恶意软件的伪装目标。...
网络练习
ganjiang520的专栏
12-31 1531
一、       选择题,单选或多选(共20题,每题2分,共40分) 1、    某网络管理员在将-台位于工作组中的计算机加入到域中时出现如下所示的错误, 可能会导致这种情况的原因有(C )。(选择一项)     a) DNS中没有配置这台计算机的域名 b) 没有为域配置相应
Trojan-Dropper.Win32.Dropkit.a清除工具
10-21
标题中的“Trojan-Dropper.Win32.Dropkit.a清除工具”表明了这是一个专门用于清除特定类型电脑病毒的工具包。这种病毒属于Windows平台上的特洛伊木马病毒(Trojan Horse),并且它是一个dropper,意味着它的主要功能...
Trojan Killer(木马查杀工具) v2.2.2.6中文免费版.zip
07-14
Gridinsoft Trojan Killer木马克星是专门来禁用/删除没有用户不必手动编辑系统文件或注册表的恶意软件。该方案还删除一些恶意软件进行了一些标准的防病毒扫描器忽略额外的系统修改。   Trojan Killer扫描所有的...
计算机病毒的种类及预防措施.doc
最新发布
05-06
- **前缀**:Win32、PE、Win95、W32、W95等。 - **特点**:主要感染Windows操作系统的.exe和.dll文件,并通过这些文件进行传播。 - **示例**:CIH病毒是一种典型的系统病毒,它会在特定日期激活并破坏用户的系统...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8860
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3326
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 6419
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1566
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2537
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4026
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4592
在进行推箱子的实验中,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程中,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...
关于Dubbo的mock=true降级无法调用降级类ServiceMock的解决方案
weixin_45754452的博客
02-25 1364
问题 消费者使用mock=“true”,想调用TestServiceMock进行服务降级无法调用 原因 我的项目结构如下,首先要知道服务降级代码应该是谁执行的,服务降级是服务消费者也就是controller包处对应的服务执行的,因为我只是测试dubbo怎么使用,所以并没有分多模块,但完全可以把一个包理解为一个模块,再看下面配置文件 为什么可以把一个包当成一个模块呢,因为我把配置文件的scan改成controller包然后启动一个服务器,即消费者,如果把scan改成service则可以启动服务提供者服务器
Vue---Vue基础
前端与计算机相关知识的分享,博主的qq523235674
02-25 1409
一.Vue概述 二.Vue的基本使用 2.1Vue.js之hello world 基本实例 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <title>Document</title> </.
如此优秀的JS轮播图,写完老师都沉默了
陈新科的博客
02-17 5896
雷迪森安的乡亲们,欢迎来到老实人的前端课堂,今天我们来写个骚气磅礴的轮播图吧,内容太干,建议收藏起来慢慢看,最后我还会教大家如何免费部署上线哦~ 正片 小轮播图滑动滚播,好不好看你说了算。 结构就两行 <div id="main"> <h1>something</h1> <div class="content"> <p>You can press <kbd>▲</kbd> <kbd&
TCP/IP网络编程---Linux系统下的TCP套接字编程
xxyneymar的博客
02-21 4251
目录 第一章 理解网络编程和套接字 1.1 网络编程和套接字概要 1.2 基于Linux的文件操作 1.2.1 底层文件访问和文件描述符 1.2.2 打开文件 1.2.3 关闭文件 1.2.4 将数据写入文件 1.2.5 读取文件中的数据 第二章 套接字类型与协议设置 2.1 套接字协议及其数据传输特性 2.1.1 关于协议 2.1.2 创建套接字 第三章 地址族与数据序列 3.1 分配给套接字的IP地址与端口号 3.1.1 网络地址 3.1.2 用于区分套接字的端口号 3
CSS -- 移动端适配技术学习
秋天,黄叶坠地,凉风有信。
02-20 1546
CSS中常用的计量单位,em,rem,px的区别,vwvh,vmin,vmax 的使用,移动端适配中使用到的技术,媒体查询CSS和JS的实现方法,Flex弹性布局,flexibleJS的介绍,rem + viewPort 缩放的技术
Docker整理篇(网络与数据卷)
weixin_43118617的博客
02-23 1321
docker网络与数据卷操作和基础命令
搭建React Native开发环境
dear_Wally的博客
02-24 3549
1、参考搭建开发环境 · React Native 中文网 2、安装依赖 必须安装的依赖有:Node、JDK 和 Android Studio 2.1、安装Node 安装包下载地址下载 | Node.js注意 Node 的版本应大于等于 12 下载node对应版本的安装文件,直接安装即可,安装完成之后。打开命令行,输入node --version 能够显示版本时,说明安装成功。 如果提示找不到该命令,可能是环境变量没有添加。把Node安装目录添加到环境...
webrtc frame dropper
05-01
WebRTC框架丢帧是指在音视频传输过程中,由于网络角度、硬件驱动、操作系统等多种原因,导致音视频数据包丢失的现象。在WebRTC传输中,每秒钟发送的音视频帧数(FPS)通常是30帧,如果出现帧丢失的情况,会严重影响...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值