驱动级病毒宿主现身--kzxf.com恶意软件清除手记

最新推荐文章于 2019-10-09 23:01:52 发布
最新推荐文章于 2019-10-09 23:01:52 发布
阅读量5.5k 收藏
点赞数
分类专栏: 软件应用手记 文章标签: system dll 杀毒软件 ie dos 360
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhmnsw/article/details/1283004
版权

最近在浏览一个网页时感觉速度有点慢,IE有一段时间的停滞

一开始并没在意

但当我打开一个新的IE时,发现首页被改为了:http://kzxf.com,于是轻车熟路,找来兔子、360卫士等工具,一通绞杀,果然发现几个恶意软件,清除、重启

启动音响过,卡巴斯基竟然报告有木马和广告软件

再查,又是N个流氓软件 

如此这般的反复,问题依旧

IE的首页始终是http://kzxf.com,从注册表中删除此键值,竟然一刷新又出来

重启进安全模式,发现这流氓仍然活着....

这下我可是黔驴技穷了...

面对可怜的电脑无技可施

几天后,去360卫士论坛发现了一个相关的帖子,才知道这是一个驱动级的病毒,它将自己伪装成驱动,并注入到system内核(当然安全模式下也可以加载了),但没有病毒的特征,所以杀毒软件对他不敏感,但它可以下载某些木马或者流氓软件,现将结论总结如下:

1、该流氓软件文件名为随机,但system32/drivers下为两个sys文件,以两位数字结尾,版本号同为:5.00.2195.5438,同为9KB。

2、system32文件夹下存在一个与以上sys其中一个同名的dll文件,44KB

3、找到这三个文件之后,记下文件名及路径,重启进DOS或其他系统,删除

4、重启后提示xxxx.dll找不到,不用理会,在注册表和系统文件夹中搜索所有包含有这个dll文件名的键值或文件,删除相应信息,重启即可

糖醋鼻子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向一个基于驱动的恶意程序
04-16 2448
本程序发现于机器狗变种病毒释放恶意程序的下载列表中:穿透还原系统后的机器狗病毒在机器启动后会从指定网址下载多个恶意程序,本程序即其中之一,其功能为通过底层键盘过滤方式盗取用户键盘输入信息。因程序使用了底层键盘过滤技术,故而可记录大部分软件的键盘输入,包括网游、QQ、邮箱的帐户输入信息等。 一、原理:     此程序随系统进程internat.exe启动而被执行,程序通过加载自身资源里的两个驱动来隐
一个恶意程序
mmyzlinyingjie的专栏
03-18 432
// KeyBoardHookDialogDlg.cpp : implementation file // #include "stdafx.h" #include "KeyBoardHookDialog.h" #include "KeyBoardHookDialogDlg.h" #define REG_RUN "SOFTWARE\\Microsoft\\Windows\\Curre
基于内核驱动的恶意代码动态检测技术
04-07
基于内核驱动的恶意代码动态检测技术,基于内核驱动的恶意代码动态检测技术
恶意驱动修复工具
09-24
恶意驱动修复工具
恶意软件每天至少30万个变种 杀毒软件捉襟见肘 来看4种恶意软件反查杀技术...
weixin_34179762的博客
09-01 307
杀毒(AV)和反恶意软件产品是最古老、最成熟的网络攻击防护,但似乎每天都有新的恶意软件样本能够绕过传统的杀毒软件恶意软件查杀方案。在WannaCry出现当日,即便是顶的杀毒引擎,大多数也都错过了第一批样本,但在随后数小时、数天、数周内都逐渐更新了特征库。这就是是基于特征的检测解决方案的延迟性和被动性的最好示例。 基于特征的杀毒软件还会错过知名威胁...
xzfnz.fsj.kzxf.xkjf你的反馈没看到房间内了覆盖面,发
sc63jk9的博客
10-09 97
传统杀毒软件 vs. 军用恶意软件
Purpleendurer@CSDN
08-29 1万+
作者:迈克尔·卡斯纳 (Michael Kassner)翻译:PurpleEndurer 2012-08-29 第1版  前言:杀毒程序过时了。在这种情况下,我们应该做些什么呢?让我们来了解一下安全社区里是怎么说的。   不要在无防护措施的情况下访问互联网,否则你会后悔的。这样的建议不绝于耳。接下来的会是不是:  “这意味着我们大家都在两年或更早之前错过了对这个恶意软件的检测。这对我们公司,对整个
auto专杀.rar
12-10
auto专杀.rar 很好用 大家用用吧
Windows已找到设备的驱动程序软件,但在试图安装它时遇到错误怎么解决
热门推荐
子豪专栏
03-29 15万+
u盘插入后,系统提示设备驱动程序无法安装 进去设备管理器找到有叹号的的设备,右键选择更新驱动程序, 选择浏览计算机以查找驱动程序软件输入 C:\Windows\System32\DriverStore\FileRepository 不行的话再输入C:\Windows\winsxs 精简系统时将驱动备份文件夹FileRepository删除,U盘就无法使用了,花
4种恶意软件反查杀高技术 反病毒软件和APT解决方案都在为此头疼
weixin_34414196的博客
09-01 909
在8月末,安全加报道了恶意软件每天至少30万个变种,这些恶意软件的作者通常使用4种恶意软件反查杀技术,对抗各种检测扫描,今天我们接续来说更高的混淆技术以及可用于检测回避式恶意软件的新方法和技术。 对抗反汇编和调试工具(防护程序) 恶意软件作者对恶意软件研究员的工作了如指掌且了解他们采用哪些工具定位威胁。例如,研究员和程序员经常采用反汇编程序...
杀毒软件愉快玩耍的日子
weixin_34249367的博客
07-30 168
在实际的渗透测试中,杀毒软件是个无法忽视的话题;比喻的话,就像谈恋爱最终都要见对方父母一样, 除非你不想把这层关系持续下去. 因此,本篇作文主要研究如何使自己的恶意软件(MalWare) 绕过杀毒软件的识别和查杀. FBI WARNING 本文所述的方法和经验只作为个人总结和笔记,切勿用于违法用途!! 杀毒软件的工作方式 俗话说,知己知彼,百战不殆. 杀毒软件保护电脑的方式一般有静态签名查杀,...
恶意软件常用的感染技术
weixin_33770878的博客
07-12 779
恶意软件常用的感染技术。通过“横向运动”,恶意软件可以进一步扩大其战果:从原始受感染设备传播到同一网络内的其他设备。 最近,勒索软件已经开始使用这种传播方式:包括CryptoWall [1]、CryptoFortess [2]、DMA-Locker [3]和CryptoLuck [4]在内的许多著名的勒索软件家族,不仅对受害者机器上的文件进行加密,而且...
解决ASUS F8安装XP/2003系统后,Splendid程序出现“uiVista failed error 2”的问题
糖醋舌头
04-17 1万+
ASUS F8本本下安装2003系统已经有一个月的时间了,但始终不能用其自带的Splendid靓彩技术程序,启动程序提示“uiVista failed error 2”,上网找原因一直未果,从官方网站下载了最新驱动也无法解决该问题。经过不断摸索,最后终于找到了解决方法:在安装文件夹中找到ACOVS.exe程序,运行,你会被提示**Dont click "OK" if your sys
将笔记本打造成遥控器――远程桌面控制台式机
糖醋舌头
08-25 1万+
    不久前,终于为自己添置了一个本本,但老的台式机舍不得扔,于是将其做成了服务器来用。但两套键鼠实在太麻烦了,买本本就是为了在床上偷懒,怎么能老是奔波于两套设备之间呢,于是使用远程桌面,将台式机的控制全部转到了本本上,使得本本不仅能够即时获得台式机当前登录会话的桌面,而且能够在台式机端播放音频(台式机的音箱比本本的好多了!),不用三方软件,就把本本打造成了遥控器。下面就将该方法拿出来跟大家一起
字符串缓冲区太小?--Oracle也谎报军情
糖醋舌头
05-21 8681
为了几天后的系统测试,需要在虚拟机安装整个系统,数据库使用了Oracle 10.2.0版本,但由于Oracle的军情谎报,害我重装了N回。目前正在运行的数据库服务器是10.2.0.3.0版本的Oracle,当我DMP出一个数据副本并IMP到虚拟机的数据库中时,Oracle竟然无法读取该文件。仔细查看后发现,虚拟机的数据库版本为10.1.0,遂将其卸载改换成Oracle 10.2.0。从此恶梦开
解决启动Install Anywhere卸载程序的“JAVA VM”错误
糖醋舌头
07-24 6130
Install Anywhere安装程序使用了JAVA的虚拟机,因此在启动卸载程序的时候由于找不到JAVA的执行环境而报告“Launch Anywhere Error: Windows error 3 occurred while loading Java VM”(“JAVA VM启动时Windows 发生错误:3”)。Borland ALM套件大部分程序都使用了该安装程序制作的安装包,因此在
偏方巧治PATH变量超长问题
糖醋舌头
04-11 5302
症状回放:最近安装一个Delphi的控件,结果,在安装之后启动Delphi时出现了找不到相关文件的错误。一开始以为是Delphi内的Library路径没有添加,查看,一切正常。再次启动Delphi,提示说将xxx路径插入到PATH环境变量中失败,原因是PATH变量超出长度限制。查找根源:根据Delphi的提示,打开环境变量设置窗口,发现PATH变量确实不短(安装了很多开发工具,很多都需
独立声卡==蓝屏?
糖醋舌头
07-22 3993
安装独立声卡,要禁用板载声卡,不然会出现冲突导致蓝屏,这个知识点似乎是大家都能倒背如流的规则了。但是,昨天勉强凑出30块大洋,咬牙买了块独立声卡,却又再次被玩...来龙去脉,听我慢慢道来:怀揣声卡回到家,便迫不及待拆开机箱,七下八下安装上了,当然,我也没有忘记禁用板载的AC97 Audio一项。开机,进入系统,提示找到硬件,之后插入声卡驱动盘,安装很顺利,新发现的硬件一个接一个的弹出来并安装好
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值