关于tool.exe的手工杀毒c0nime.exe servere.exe shualai.exe1explore.exe cmdbcs.exe

最新推荐文章于 2022-02-25 21:57:21 发布
最新推荐文章于 2022-02-25 21:57:21 发布
阅读量2.4k 收藏
点赞数
分类专栏: 电脑病毒 文章标签: c microsoft ie

卡卡论坛:baohe

这是个利用ANI漏洞传播的木马群,其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。

另:中招后,系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。

我的手工查杀流程如下(用IceSword操作):

1、禁止进程创建。

2、根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪些进程,取决于你当时运行的程序。以下是我运行该样本后的例子。)

[PID: 484][C:/windows/Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[C:/windows/system32/cmdbcs.dll] [N/A, N/A]

[PID: 2252][C:/Program Files/Tiny Firewall Pro/amon.exe] [Computer Associates International, Inc., 6.5.3.2]

[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[PID: 3880][C:/WINDOWS/system32/shadow/ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]

[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]
[PID: 2760][C:/Program Files/SREng2/SREng.exe] [Smallfrogs Studio, 2.3.13.690]

[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy1.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Gjzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Rav30.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/fyzo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/Msxo0.dll] [N/A, N/A]
[C:/DOCUME~1/baohelin/LOCALS~1/Temp/LgSy0.dll] [N/A, N/A]

[PID: 2548][C:/windows/shualai.exe] [N/A, N/A]

3、删除病毒文件(图1);清空IE临时文件夹。

图1地址:http://images.rising.com.cn/uploadfiles/20074/17/1558472007417100851.jpg

4、删除病毒启动项(图2)。

图2地址:http://images.rising.com.cn/uploadfiles/20074/17/1558472007417100925.jpg

5、取消IceSword的“禁止进程创建”。

6、修复hosts文件。

注:系统分区以外的那些被病毒感染的.exe——估计是没救了。节哀。





 

飘的梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见木马的手工清除方法
山风走过的专栏
05-28 4299
1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫 清除木马v1.1 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的两个路径,并删除 " C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 关闭
c0nima.exe,systemKb.sys,mppds.exe,c0nime.exe这些都是病产生的文件
飘的梦客厅
03-03 7274
从昨天晚上开始,我的机子就中病了,这个病总体说来还是不叫仁慈的,没有什么破坏(对我而已),只是把我的瑞星监控给停止了,以及静音!其他的就是在c:/winnt下生成几个文件,下面是我求救时写的文章:昨天中了这个病,发作时把瑞星的监控停止而且还 有静音功能,确实很烦人的,它涉及到的文件(我现在发现的)mppds.exe,mppds.dll,这两个在用户名文件夹下的temp下,c0nima.e
9道最佳解酒方法
飘的梦客厅
05-22 893
《必知的9道最佳解酒方法》【实用】既喝酒就要会解酒,否则不仅醉醺醺有失礼仪,接踵而至的头痛、头晕、反胃、发热……也不会让你好受。“有备而喝”才是上策,以下9种解酒食品正是坊间最新研究心得,帮你专门应对各种酒后不适。 ☆蜂蜜水——>酒后头痛喝点蜂蜜水能有效减轻酒后头痛症状。美国国家头痛研究基金会的研究人员指出,这是因为蜂蜜中含有一种特殊的果糖,可以促进酒精的分解吸收,减轻头痛症状,尤其是红酒引起
遭遇难缠的病群ntldr.exe和c0nime.exe等,可
yzd
12-06 609
据当事人说中后就上不了网了,我没有确认。每个硬盘分区下都有Autorun.inf和ntldr.exe,C:/Windows/System/目录 下有c0nime.exe(那是数字0不是字母o)等若干个可疑的可执行文件。 硬盘上N多exe可执行文件都被病感染. 重启到安全模式竟然没有解决问题,没办法,最后到DOS下把windows/system目录下把东西全删了,把c:/windows/sy...
eexplore.exe,rising,XunLei.exe的删除(让迷惑来得更猛烈些吧)
weixin_34149796的博客
11-15 107
----------------------------------teYqiu【天下无】原创文章,转载请标明。[url]http://hi.baidu.com/teyqiu[/url]百度知道反病知识专家崔衍渠 授权。 『转载请保留此申明!』 ---------------------------------- 1. 前关闭系统还原(Win...
删除木马 13.exe 和 mhqq.exe
yzd
12-03 130
在任务管理器和ProcessExplorer中都结束不掉这两个进程,因此请重启导安全模式,显示系统文件和隐藏文件。 "C:/WINDOWS/system32/gdmoyi32.dll" . "C:/WINDOWS/system32/gdcqi32.dll" . "C:/WINDOWS/system32/gdzxi32.dll" . "C:/WINDOWS/system32/gdwl...
中了Viking,抓到CONFIG.EXE,NTDLL32.dll,webpnt.exe
Purpleendurer@CSDN
04-05 4718
endurer 原创2007-04-05 第1版昨天刚上班,一位同事说他的电脑反应很慢,让偶去检修。打开任务管理器,看到IEXPLORE.New之类的,肯定是中标了。下载pe_xscan扫描了log,重启电脑到带网络连接的安全模式下,使用在线网页分析,发现可疑项:pe_xscan 07-03-17 by Purple Endurer2007-4-4 8:26:38Windows X
NIME:为麻省理工学院课程21M.370创建的数字乐器设计框架
03-18
使用GitHub Desktop或终端将NIME存储库克隆到您刚刚选择的文件夹中。 如有必要,您可能需要安装git工具。 克隆存储库后,您可以根据需要通过在终端中导航至NIME文件夹并输入命令git pull 常问问题 我可以将存储库放...
nimble.js:使用API​​构建Web或移动应用程序的最快方法
05-09
它旨在通过Web应用程序或Cordova混合移动应用程序工作。 Nimble.js依赖于两个流行的框架和 ,它是可扩展的,可以与许多JavaScript / CSS框架一起使用。 我们的是一组在线表格。 这些形式允许按顺序或并行集成多个...
A-NIME-Reader:选集“ A NIME Reader十五年新的音乐表达新界面”的源文件
02-03
《A-NIME-Reader》是源自“十五年新的音乐表达新界面”的一个项目,它集成了多种技术与设计理念,旨在为音乐创作和表现提供一种创新的交互方式。这个压缩包包含的是该选集的源文件,供研究者、开发者以及对音乐与...
intro2musictech:公众号“无痛入门音乐科技”开源代码
02-04
intro2musictech:公众号“无痛入门音乐科技”开源代码
transition-analysis:NIME,“使用子带分析和凸优化对现实世界DJ混音的过渡区域进行逆向工程”的代码,2021年
03-30
该研究由金泰俊、杨益H和南珠汉三位学者在2021年的音乐表达新接口(NIME)会议上提出,并且提供了相应的代码实现,以便于其他研究者和实践者深入理解和应用。 子带分析是一种信号处理技术,它将音频信号分成多个...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8829
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3278
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 3726
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1545
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2483
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 3998
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4587
在进行推箱子的实验中,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程中,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值