同前不久中标者比较多的盗号码winmer.exe、msime.exe几乎相同,除了添加常见的注册表启动项外,还采取了组策略开关机脚本启动木马的办法,简单描述
释放文件
C:/WINDOWS/system32/winasse.exe
C:/WINDOWS/vbarun.dll
C:/WINDOWS%/system32/GroupPolicy/Machine/Scripts/scripts.ini
添加注册表启动项
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"KernelFaultCheck"="C:/WINDOWS/system32/winasse.exe"
正常运行后,关闭部分安全软件,并卸载掉部分安全软件的服务
可能会修改hosts文件
C:/WINDOWS/system32/drivers/etc/hosts
解决过程
1、打开任务管理器,结束winasse.exe进程,并删除
C:/WINDOWS/vbarun.dll
C:/WINDOWS/system32/winasse.exe
2、删除其添加的注册表启动项
3、删除其组策略开关机脚本
开始-->运行-->gpedit.msc
组策略-->计算机配置-->管理模板-->系统-->脚本 右边的开关机属性
也可以进入如下路径删除
C:/WINDOWS%/system32/GroupPolicy/Machine/Scripts/scripts.ini
4、修复可能被修改的hosts
找到C:/WINDOWS/system32/drivers/etc/hosts
用记事本打开,将自己未知的IP以及对应的域名删除
释放文件
C:/WINDOWS/system32/winasse.exe
C:/WINDOWS/vbarun.dll
C:/WINDOWS%/system32/GroupPolicy/Machine/Scripts/scripts.ini
添加注册表启动项
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"KernelFaultCheck"="C:/WINDOWS/system32/winasse.exe"
正常运行后,关闭部分安全软件,并卸载掉部分安全软件的服务
可能会修改hosts文件
C:/WINDOWS/system32/drivers/etc/hosts
解决过程
1、打开任务管理器,结束winasse.exe进程,并删除
C:/WINDOWS/vbarun.dll
C:/WINDOWS/system32/winasse.exe
2、删除其添加的注册表启动项
3、删除其组策略开关机脚本
开始-->运行-->gpedit.msc
组策略-->计算机配置-->管理模板-->系统-->脚本 右边的开关机属性
也可以进入如下路径删除
C:/WINDOWS%/system32/GroupPolicy/Machine/Scripts/scripts.ini
4、修复可能被修改的hosts
找到C:/WINDOWS/system32/drivers/etc/hosts
用记事本打开,将自己未知的IP以及对应的域名删除
扫一扫
684
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
