病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 飞利浦190SW9不能保存亮度的解决方法C盘回收站消失 »

This computer is being attacked

  此种病毒2008年就出现过,主要现象是在屏幕上飘着一个图片,图片上写着“This computer is being attacked”。由于在论坛没有得到详细的信息,只能根据以前出现过的几例日志对比,得到以下内容,可以根据下述项目尝试进行清理。

一、注册表:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  <><C:\WINDOWS\system32\dllcache\Default.exe>  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <><C:\WINDOWS\system\KEYBOARD.exe>  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  <><C:\WINDOWS\system32\dllcache\Default.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
  <sys><C:\WINDOWS\Fonts\Fonts.exe>  
[HKEY_CURRENT_USER\Control Panel\Desktop]
  <SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  

以下IFEO,劫持了一些常用的安全工具与系统工具(如msconfig.exe、taskmgr.exe)或系统文件(如rundll32.exe)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
  <debugger><C:\WINDOWS\system32\drivers\drivers.cab.exe>  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
  <debugger><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
  <debugger><C:\WINDOWS\system32\drivers\drivers.cab.exe>]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
  <debugger><C:\WINDOWS\Fonts\fonts.exe>  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
  <debugger><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
  <debugger><C:\WINDOWS\Media\rndll32.pif>  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProcessManager.exe]
  <debugger><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
  <debugger><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe]
  <debugger><C:\WINDOWS\Fonts\Fonts.exe>  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
  <debugger><C:\WINDOWS\Fonts\tskmgr.exe>

二、在各硬盘分区的根目录下生成autorun.inf文件,内容是:
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com
劫持了硬盘打开方式及右键菜单中的”打开“与”资源管理器“两个命令

三、篡改了注册表文件reg的关联:
.REG Error. [C:\WINDOWS\pchealth\Global.exe](用C:\WINDOWS\pchealth\Global.exe打开.reg文件)

四、还有生成进程文件:
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
伪装回收站(recycler.{645ff040-5081-101b-9f08-00aa002f954e})

除以上外,有的还有生成服务,有的生成驱动,因为不是所有的共同特征,就没记在上面。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/588.html

  • 收藏文章:
  • 新浪微博:
  • 订阅博客:
  • 腾讯微博:

最新发表

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号