文歌随笔(Aven's Blog)

致"文歌"所有朋友:
  
  今天,“文歌随笔”已经走了十个年头。很庆幸,他还在,近期我会抽些时间对内容进行调整,感谢大家的支持! 谢谢!
                                                      ----黑蝙蝠(QQ:67858601)
2015.05.08

English Sentence Loading...
英语句子加载中...

  网站消息:增加二维码扫描功能,扫一扫可以使用手机浏览!2015.05.13
  网站消息:
关闭原有评论和留言系统,加入第三评论系统-友言!2015.05.12
  网站消息:尝试着对博客进行调整,尽量更新,敬请关注!2015.05.08

  1.申请“友情链接”的朋友请到这里        2.留言板| 亲,请点这里给我留言吧

[安全]U盘病毒专杀工具:美女游戏、重要资料(更新日期:08月30日)




中毒现象:出现美女游戏MS-DOS和重要资料可执行文件,杀毒软件自动防护被中止,无法打开,在安全模式下杀毒软件也无法启动。电脑日期被改为2004年1月22日。请下载下面的专杀工具杀毒,该工具能杀除病毒270多种。

专杀工具下载地址:<-推荐下载
U盘病毒专杀工具 绿色简体中文免费版 更新日期:2007年8月30日
电信下载点一

如果不能运行该专杀工具或者杀毒软件,请先下载以下专杀工具杀过之后再打开。
AV终结者病毒专杀工具下载:下载地址一    下载地址二    

适用系统版本 Windows 2000/NT/XP/2003

USBCleaner V6.0 Build 20070830 完全版

新增加可查杀U盘病毒8个,其中包括Main.vbe变种,svchost.exe变种,Vmnet病毒,Hide病毒,server.exe Backdoor.Win32.Hupigon,
servet.exe Virus.Win32.Autorun.z,note病毒Virus.Win32.Autorun.hx,1.exe Virus.Win32.Autorun.im


手动清除方法:

清除方法归结为一句话:“夹缝中求生”
IceSword.exe、SREng.exe均被禁,但只需将文件改名,照样可以运行
autoruns.exe则不在被禁的行列
其他的被禁程序,一步步解禁

具体过程:

结束进程:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
没有发现此病毒禁用任务管理器。也可以用其他工具如procexp等

用autoruns删除以下项目(建议用autoruns,一是没被禁,二是一目了然,注意先选Options-Hide Microsoft Entries):(实际上我自己用的是冰刃,改个扩展名就可以用,可以中止进程,阻止进程创建,也可以强行删掉文件,改动注册表,很不错)
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

这样包括IceSword、SREng、注册表编辑器和系统配置实用程序在内的部分程序不再被禁止

删除或修改启动项:
以用SREng为例
在“启动项目”-“注册表”中删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[N/A]
[N/A]

双击以下项目,把“值”中Explorer.exe后面的内容删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[N/A]

删除文件:
由于非系统盘即便右键打开也会有危险,应该采用其他方法,推荐用IceSword或WINRAR来做
删除:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf

系统修复与清理:

在注册表展开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建议将原CheckedValue键删除,再新建正常的键值:
"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun键的值,是否要改,要改为什么,视乎各人所需,一般默认为91(十六进制的)
此键的含义,请搜索网上资料,在此不再赘述

HOSTS文件的清理
可以用记事本打开%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的内容
也可以用SREng在“系统修复”-“HOSTS文件”中点“重置”,然后点“保存”

最后修复一下服务被破坏的杀毒软件。

小结:
从拿到样本到方法写完,历时整整五小时。之所以要说得如此详细,是因为这个病毒相当的典型,尤其是它对付安全软件的几种方法。右键菜单没变化,也是比较“隐蔽”而且给清除带来麻烦的一个特征。对付这个病毒,也要在“知己知彼”的基础上,灵活运用方法和工具。
QQ软件园反病毒专家建议电脑用户采取以下措施预防病毒:下载金山毒霸(点击下载)进行全盘杀毒,同时注意更新自己电脑里的杀毒软件的病毒库,建立良好的安全习惯,不打开可疑邮件和可疑网站,很多病毒利用漏洞传播,一定要及时给系统打补丁!



[本日志由 黑蝙蝠 于 2007-09-04 02:59 PM 编辑]
上一篇: [原创音乐]《如果你是我眼里的一滴泪》配器版-- 演唱:李绪杰
下一篇: [人生]人的一生,就像乘坐一辆公交车
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: 安全 U盘 病毒 专杀 美女游戏 重要资料
相关日志:
评论: 31 | 引用: 0 | 查看次数: 49404
西安约会[2011-09-27 05:34 PM | 访问 http://www.xadate.com | | 117.36.3.50 | del | 回复回复]
30#
哈哈 !!不错!!谢谢~~~
木偶人[2007-08-05 11:58 PM | | | 220.172.78.52 | del | 回复回复]
29#
哈哈 !!不错!!谢谢老大!!
发表评论