今天机器中了病毒:Trojan.PSW.Lmir.pj.enc

最新推荐文章于 2024-11-02 21:50:57 发布
最新推荐文章于 2024-11-02 21:50:57 发布
阅读量2.2k 收藏
点赞数
文章标签: 杀毒软件 delphi 防火墙 shell 游戏 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanaya/article/details/84292
版权

今天打开"我的电脑"时看不到驱动器盘符了,右上角那个小地球不停的转啊转啊...反复如此 ~_~,苦啊..

这个病毒的破坏方法:窃取游戏"传奇"信息的木马病毒 (采用Delphi编写,UPX压缩)

病毒运行后有以下行为:
 
一、将自己复制到%SYSDIR%目录下,文件名为"svch0st_.exe"。

二、修改注册表:

1.HKEY_CURRENT_USER/SoftWare/Microsoft/Windows/CurrentVersion
/Run增加数据项:"svch0st_.exe"  数据值为:"svch0st_.exe"

2.HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT
/CurrentVersion/Winlogon 修改数据项:"Shell"  修改后的数据值为:"Explorer.exe svch0st_.exe"
(正确的数据值为"Explorer.exe")

三、结束以下反病毒软件和监控软件的进程:
 
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
瑞星杀毒软件
天网防火墙个人版
天网防火墙企业版
木马克星
EGHOST
MAILMON
卸载"密码防盗专家 综合版"

四、释放文件"LSAS.bmp"和"STAK.bmp",这两个文件实际上是两个动态库文件。"STAK.bmp"提供了拦截"OpenProcess"API的接口,导致其他进程无法打开"svch0st_.exe"的进程,因此也无法结束"svch0st_.exe"的进程。"LSAS.bmp"用于挂接鼠标和键盘钩子,以窃取游戏"传奇"信息。


呵呵,这个病毒倒是不厉害,但是它在的时候却很烦人.当打开"我的电脑 "时不能看见驱动器盘符,那个微软的小地球转啊转啊,要等一万年...

是地球人(当然会用计算机,而且还中了这个病毒^_^)都会很痛苦的.

我给出杀毒办法如下:

首先把名称为:svch0st_.exe 的进程全部结束.

然后到 Winnt目录(Win9x是 Windows)搜索名称为:svch0st_.exe;LSAS.bmp;STAK.bmp
把找到的这几个文件全部删除.

接着把注册表:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT
/CurrentVersion/Winlogon 的 "Shell"  的数据值修改为:"Explorer.exe"

搞定.再打开"我的电脑",右上角那个小地球终于不转了.

唐古拉山
关注
专栏目录
病毒预报:Trojan_Generic.F
Confession 的技术频道
01-23 1947
通过对互联网的监测发现,近期出现一种恶意木马程序Trojan_Generic.F。该恶意木马程序通过修改受感染操作系统的注册表相关键值项,伪装成Java升级程序实现随系统开机而自启动。     该恶意木马程序运行后,会在受感染操作系统查找宿主进程,并将自身注入到该进程文件。与此同时,该木马程序将自我复制到受感染操作系统指定目录下,并重命名为系统可执行进程文件。     另外,该
js.scob.trojan.nasl
11-08
js.scob.trojan
遭遇Trojan.PSW.Lmir病毒(第4版)
Purpleendurer@CSDN
03-11 5461
endurer 原创2006-03-16 第4版 补充Kaspersky对a.exe的反应。2006-03-14 第3版 补充江民回复:setup.exe不是病毒。2006-03-11 第2版 补充了具体处理过程2006-03-10 第1版  昨天,一位朋友打电话来说,他的电脑出了问题,总提示出错,无法使用。  我教他进入安全模式检查看看。过了一会,他打电话来说已经在安全模式下用什么助
遭遇Trojan.PSW.Lmir.kyo、Trojan.DL.QQHelper等N多木马
Purpleendurer@CSDN
09-23 3127
endurer 原创2006-09-23 第1版有位网友的电脑经常发现病毒,手动扫描也清除不干净。让我帮忙检查一下。到 http://endurer.ys168.com 下载HijackThis扫描log,发现以下可疑项: /----------HijackThis_zww汉化版扫描日志 V1.99.1保存于      0:30:24, 日期 2006-9-19操作系统:  Win
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
10年职场两茫茫,35岁凄凉奈若何
06-29 5829
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
火绒(显示病毒HEUR:Trojan/AvKiller.c),误删explore.exe,导致电脑白屏,解决方法
热门推荐
m0_64378422的博客
02-17 1万+
对,就是火绒导致的,如果按照操作依然黑/白屏,直接找到火绒安装目录打开火绒在右上角设置区找到隔离区里把explorer全部恢复,然后根据提示加到白名单,最后关闭程序后重启或者直接用cmd打开explorer就会好。桌面程序explore.exe被火绒当病毒清理了。
病毒HEUR:Trojan-Downloader.Win32.Generic
Gin工作室
08-06 4216
这个病毒一般是浏览网页留下的,病毒多在四个地方: C:/Documents and Settings/Administrator/Cookies C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files   C:/Documents and Settings/Default User/Co
偶遇Trojan.AVKill.19646
Purpleendurer@CSDN
04-20 785
文件说明符 : D:\用户目录\Documents\WeChat Files\wxid_urve4wh33v7822\FileStorage\File\2023-04\0161035ed0c7e5e443d63ab5f16ed924.exe。感觉电脑最近使用起来有点异常,先用360卫士全盘查杀,未发现木马。其实这个文件是有版本信息的,只是FileInfo没能读取出来,看来需要进一步升级完善了。创建时间 : 2023-4-20 3:6:0。修改时间 : 2023-4-20 3:6:0。
Trojan.Win32.Scar.cjdy分析
chasdmeng的专栏
09-29 3500
前记:         这是很早之前分析的一个windows上的病毒程序,程序很有代表性,我当时分析的也很细致。最近在整理文档时发现了它,感觉还是有分享的价值的。 一、病毒标签: 病毒名称:Trojan.Win32.Scar.cjdy 病毒类型:下载类、感染型程序 文件 MD5:2EFC5A7D29B43AD8B0C02047AF7B4ED5 公开范围:完全公开 危害等级:3
关于病毒Trojan:Script/Wacatac.H!ml 求助大佬!
m0_51156876的博客
09-26 2876
最近在写一个图像加密压缩再解密解压的python脚本,完成之后今天突然windows一直提示有木马威胁:Trojan:Script/Wacatac.H!ml 然后提示受影响的项目是我写的解密解压的脚本,我把脚本删了之后暂时没有提示,有没有大佬知道是脚本的问题还是真的被木马感染了?
Unix.Trojan.Agent-37008木马查杀
carry的博客
11-12 2272
最近一天突然发现公司网络出问题了,时不时就断网,起初行政部门联系网络运营商,以为是他们那边的网络故障,而且刚开始运营商说是光猫可能出故障了,已经在给我们安排发一个新的过来。光猫还没收到,宽带管理人员发现光猫被内网发出的大量数据给卡死的,让我们排查一下内网设备。 于是我们赶紧登录路由查日志,发现路由也会被卡死,在某一段时间内突然发送大量数据到某个IP地址。第一反应是内网机器毒了,一排查发现是从gitlab服务器发出去的。正好这台服务器平常是我来管理,这下解决这个问题成了我一个人的事,头大。。。 于此
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
标题的"osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed"揭示了这个压缩包文件包含的是一种针对多个平台的蠕虫木马病毒,特别是针对Windows 32位系统、Linux以及Mac OS。关键词“Cross-Platform...
火绒(显示病毒HEUR:Trojan/AvKiller.c
02-21
关于病毒HEUR:Trojan/AvKiller.c,这是一个病毒的命名,其"HEUR"表示该病毒是通过启发式分析检测出来的,"Trojan"表示它是一个特洛伊木马,"AvKiller.c"是该特洛伊木马的具体名称。 火绒作为一款安全防护软件,...
Linux常用基本指令和shell
最新发布
a-clear-meaning的博客
11-02 571
了解 Linux 系统最基础、最高频的操作命令与 Shell 技巧,本指南都涵盖了核心命令的使用方法和实用示例。通过这些实用知识,你可以在 Linux 环境更自信、高效地完成日常任务,提升系统操作能力,让复杂的命令行操作变得清晰易懂。
shell脚本一键安装部署 zabbix6.0
m0_71071763的博客
10-31 153
shell 脚本
Linux-期末考试试题8套(含答案)
zhangxueyi的专栏
11-01 642
Linux-期末考试试题8套(含答案),考试知识涵盖面广,包括Linux系统原理、系统的基本操作命令、系统管理,也有实操部分,如脚本编程等。
python 调用shell 脚本
m0_56618365的博客
11-02 194
工作使用到python,积累总结
十个运维实用的 shell 脚本范例及应用场景
cgqyw的专栏
10-30 235
应用场景:定期运行该脚本以监控服务器的关键资源使用情况,及时发现资源瓶颈,以便采取相应的优化措施。应用场景:用于分析服务器日志文件,快速统计特定错误关键字的出现次数,帮助定位系统故障。应用场景:当磁盘空间使用率超过一定阈值时,自动清理一些不必要的文件以释放空间。应用场景:用于快速重启特定的服务,例如在服务出现异常时进行快速恢复。应用场景:设置定时任务,自动执行一些周期性的任务,如备份、清理等。应用场景:检测与特定主机的网络连接是否正常,用于排查网络故障。应用场景:定期备份重要数据文件,防止数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值