软件下载 | 资讯教程 | 最近更新 | 下载排行 | 一键转帖 | 发布投稿
您的位置:最火下载站 > 电脑教程 > 电脑安全 > 手动查杀“快播伪装者”木马的方法与批处理

手动查杀“快播伪装者”木马的方法与批处理

手动查杀“快播伪装者”木马的方法与批处理

注意:再整个杀毒的过程中不要插u盘,为了避免不必要的麻烦

要干掉一个病毒,先要分析这个病毒,

怎么分析?用tu2啊

中了快播伪装者后

每个盘都会多出一个recycle文件夹,

文件夹里面会多出setup.exe,这就是病毒之一,当然这两个东西都是隐藏的,要查看的话,必须要用cmd 的dir / a 命令,至于这个命令大家可以百度一下

不仅如此,他还会在c盘释放一个cmt.exe

还会在C:\WINDOWS\system32\释放几个dll来伪装快播

这些个dll是6to4.dll,appmgmts.dll,mspmsnsv.dll,qmgr.dll,upnphost.dll,xmlprov.dll

然后还会安装几个服务,服务的名称是

appmgmt,bits ccosm,hidserv,ias,lanmanworkstation,ssdpsrv,upnphost,w32time,wmdmpmsn,xmlprov

同时还会对注册表修改

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS

知道了这些就好办了

下面开始进入正题,

经过测试,这个病毒的作者没有强有力的加入循环检测服务和注册表这个环节

所以下手点就是服务和注册表,步骤开始:

首先,要力所能及的先把简单的部分清除掉,

先把所有的杀毒软件卸载掉,要不然他老烦你,要不然一处理就蓝屏- -

从新启动机器,找到windows文件夹下regedit.exe,双击

先添加几个镜像劫持来遏制病毒,找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

新建项Setup.exe,cmt.exe,rundll32.exe

右边的内容是新建字符的那个,名字是debugger,内容是c:\XXX

这么听我说,肯定大家听不明白,那就上百度上查一查吧,很简单的

再找到

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS

把他们删除,如果删除不了设置一下权限再删除

然后是尽可能的释放病毒中的dll

这里我用的是x-ps.exe,感兴趣的可以下载一个来玩玩

举个例子,如果我想释放qmgr.dll

那么我就打开cmd,输入,

x-ps.exe /e * qmgr.dll

按回车后就释放了qmgr.dll,

把上面的说的dll每一个都释放一遍


然后打开sreng,自己去官网下,

点击启动项目--服务--win32 服务应用程序--隐藏已验证的微软项目

找到上面提到的那几个服务,选中要删除的服务,

删除服务--设置--选择 ‘否’

逐个删除这些服务

然后再修复一下系统sreng--修复系统--高级修复

把滚动条拉到最上面,点击自动修复

然后再把下面高级手动修复的3个选项按钮,从前到后按一遍

从新启动电脑,

打开cmd,用taskkill /im XXX /f

来结束下面这几个进程

explorer.exe

svchost.exe

结束svchost.exe的时候会提示关机,

输入shutdown /a终止它

再按照上面的步骤释放一下dll,

从新打开explorer.exe

在cmd上输入start c:\即可启动explorer.exe

找到上面的几个dll,删除他们

从启机器,就ok了

要是嫌麻烦的话,我写了一个批处理供大家分享

下载:批处理文件(内含病毒,供研究之用)

    相关阅读
    栏目导航
    推荐软件