病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« Freshow简明教程(含MDecoder)清除残留fonts.exe、keyboard.exe、helphost.com木马 »

清除tinlater.exe、6b5a2595.sys病毒

  下载文件中毒,该电脑上装的杀毒软件NOD32自动退出,且无法再打开和重新安装,所有的杀毒软件的网站都打不开,但其它的网站访问正常。就其症状,很似AV终结者病毒,其实就是映像劫持(IFEO)。

清除方案如下(操作可参考怎样根据SREng日志的分析报告清除病毒):

1.删除以下文件:

c:\windows\tinlater.exe
c:\windows\system32\drivers\6b5a2595.sys
c:\windows\temp\100131500.dll(以下这些都在临时文件夹中)
c:\windows\temp\10162484.dll
c:\windows\temp\110074437.dll
c:\windows\temp\120082500.dll
c:\windows\temp\140146484.dll
c:\windows\temp\160203656.dll
c:\windows\temp\170099500.dll
c:\windows\temp\180125484.dll
c:\windows\temp\190173484.dll
c:\windows\temp\20178484.dll
c:\windows\temp\210189609.dll
c:\windows\temp\250194578.dll
c:\windows\temp\50117484.dll
c:\windows\temp\60154484.dll
c:\windows\temp\70090484.dll
c:\windows\temp\80106484.dll

2.使用SREng修复下面各项:

  启动项目 -- 注册表,删除如下的IFEO项(SREng会用红色标示出这些IFEO项,很容易区分):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
[360hotfix.exe] <ntsd -d>(360从来都是重要目标,不知道瑞星会不会嫉妒)
[360rp.exe] <ntsd -d>
[360rpt.exe] <ntsd -d>
[360safe.exe] <ntsd -d>
[360safebox.exe] <ntsd -d>
[360sd.exe] <ntsd -d>
[360se.exe] <ntsd -d>
[360SoftMgrSvc.exe] <ntsd -d>
[360speedld.exe] <ntsd -d>
[360tray.exe] <ntsd -d>
[ast.exe] <ntsd -d>
[avcenter.e] <ntsd -d>
[avgnt.exe] <ntsd -d>
[avguard.exe] <ntsd -d>
[avmailc.exe] <ntsd -d>
[avp.exe] <ntsd -d>(卡巴)
[avwebgrd.exe] <ntsd -d>
[bdagent.exe] <ntsd -d>
[CCenter.exe] <ntsd -d>
[ccSvcHst.exe] <ntsd -d>
[egui.exe] <ntsd -d>(NOD32)
[ekrn.exe] <ntsd -d>
[kavstart.exe] <ntsd -d>
[kissvc.exe] <ntsd -d>
[kmailmon.exe] <ntsd -d>
[kpfw32.exe] <ntsd -d>
[kpfwsvc.exe] <ntsd -d>
[krnl360svc.exe] <ntsd -d>
[kswebshield.exe] <ntsd -d>
[KVMonXP.kxp] <ntsd -d>
[KVSrvXP.exe] <ntsd -d>
[kwatch.exe] <ntsd -d>
[livesrv.exe] <ntsd -d>
[Mcagent.exe] <ntsd -d>
[mcmscsvc.exe] <ntsd -d>
[McNASvc.exe] <ntsd -d>
[Mcods.exe] <ntsd -d>
[McProxy.exe] <ntsd -d>
[McSACore.exe] <ntsd -d>
[Mcshield.exe] <ntsd -d>
[mcsysmon.exe] <ntsd -d>
[mcvsshld.exe] <ntsd -d>
[MpfSrv.exe] <ntsd -d>
[MPMon.exe] <ntsd -d>(连微点也加进来了)
[MPSVC.exe] <ntsd -d>
[MPSVC1.exe] <ntsd -d>
[MPSVC2.exe] <ntsd -d>
[msksrver.exe] <ntsd -d>
[qutmserv.exe] <ntsd -d>
[RavMonD.exe] <ntsd -d>(瑞星不用难过,也在队伍中)
[RavTask.exe] <ntsd -d>
[RsAgent.exe] <ntsd -d>
[rsnetsvr.exe] <ntsd -d>
[RsTray.exe] <ntsd -d>
[safeboxTray.exe] <ntsd -d>
[ScanFrm.exe] <ntsd -d>
[sched.exe] <ntsd -d>
[seccenter.exe] <ntsd -d>
[SfCtlCom.exe] <ntsd -d>
[TMBMSRV.exe] <ntsd -d>
[TmProxy.exe] <ntsd -d>
[UfSeAgnt.exe] <ntsd -d>
[vsserv.exe] <ntsd -d>
[zhudongfangyu.exe] <ntsd -d>(360的主动防御)
[修复工具.exe] <ntsd -d>

启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[ms-tl / Ms-tl_Srv] <C:\WINDOWS\tinlater.exe>

启动项目 -- 服务-- 驱动程序之如下项禁用:
[6B5A2595 / 6B5A2595] <\??\C:\WINDOWS\system32\drivers\6B5A2595.sys>

其实这种劫持方式应该算比较老套了,好一点的防御与监控应该可以盯死IFEO项,不知道NOD32是不是应该在这一点上改进些。 


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/715.html

发表评论(欢迎交流,无须注册 | 如申请友链与本站要求不符,恕不回复,见谅):

验证码

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 收藏文章:
  • 新浪微博:
  • 订阅博客:
  • 腾讯微博:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号