"中国黑客II"病毒分析 并手工查杀
2006-05-22 14:16
441 查看
中国黑客II在我的地牌上混,招呼都不打一个!!!这点邻我很不爽!!!
招起家伙招呼它!KV 一通狂杀
结果这一杀就是3-4个小时 *.eml文件干掉好几千!晕这样也下去肯定自己就挂了
上网找专杀工具
好慢啊 (因为中国黑客的主进程runouce.exe占了20%--50%的CPU)!!
找到一个金山的专杀工具 试试? 哭 查不出来 但runouce.exe进程还明显的可以看到啊?
看来只有自己亲自招呼它了!
跟据以知资料 知道它是一个进程注入式病毒 注入 EXPLORER.EXE 与主进程RUNOUCE.EXE相照应
知道上面就够了 招家伙 System Safety Monitor (SSM)是一个很猛烈的工具
可不比IceSword(冰刃)差哦 关于使用自己找找资料吧
通过SSM的监视发现
中国黑客II 并不只是注入 EXPLORER.EXE 而且还注入了 taskmgr.exe!!想不到吧^_^
以下是详黑客II详细步骤
1>调用如下API
ProtectVirtualMemor
WriteProcessMemory
CreateRemoteThread
进行对explorer.exe 与taskmrg.exe进行注入
成功运行后 每隔一些时间就会 调用 NET.EXE向电脑所在的网络(局域网)发送
“My god! Some one killed ChineseHacker-2 Moni”
之后还会调用 net1.exe重新发送 以确保成功发送
这个程序只是简单的注入其它进程 以达到启动的目得但是没有加载其它如SYS DLL这类的东西
所以我们清除起来也就简单多了
先进入CMD c:/winnt/system32目录 用attrib runouce.exe 查看隐藏的属性
然后用 attrib -s -h -r runouce.exe 去除隐藏的系统属性
只要打开SSM的 规则 右键 选 新增 在对话框中选 c:/winnt/system32/runouce.exe
然后 右键新加的规则 选 阻止
结束 runouce.exe进程 删除 system32/下的runouce.exe
最后 删除 注册表
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
下面的runouce.exe(不删也可以 反正它也启动不了了^_^)
重起试试没事了吧?
招起家伙招呼它!KV 一通狂杀
结果这一杀就是3-4个小时 *.eml文件干掉好几千!晕这样也下去肯定自己就挂了
上网找专杀工具
好慢啊 (因为中国黑客的主进程runouce.exe占了20%--50%的CPU)!!
找到一个金山的专杀工具 试试? 哭 查不出来 但runouce.exe进程还明显的可以看到啊?
看来只有自己亲自招呼它了!
跟据以知资料 知道它是一个进程注入式病毒 注入 EXPLORER.EXE 与主进程RUNOUCE.EXE相照应
知道上面就够了 招家伙 System Safety Monitor (SSM)是一个很猛烈的工具
可不比IceSword(冰刃)差哦 关于使用自己找找资料吧
通过SSM的监视发现
中国黑客II 并不只是注入 EXPLORER.EXE 而且还注入了 taskmgr.exe!!想不到吧^_^
以下是详黑客II详细步骤
1>调用如下API
ProtectVirtualMemor
WriteProcessMemory
CreateRemoteThread
进行对explorer.exe 与taskmrg.exe进行注入
成功运行后 每隔一些时间就会 调用 NET.EXE向电脑所在的网络(局域网)发送
“My god! Some one killed ChineseHacker-2 Moni”
之后还会调用 net1.exe重新发送 以确保成功发送
这个程序只是简单的注入其它进程 以达到启动的目得但是没有加载其它如SYS DLL这类的东西
所以我们清除起来也就简单多了
先进入CMD c:/winnt/system32目录 用attrib runouce.exe 查看隐藏的属性
然后用 attrib -s -h -r runouce.exe 去除隐藏的系统属性
只要打开SSM的 规则 右键 选 新增 在对话框中选 c:/winnt/system32/runouce.exe
然后 右键新加的规则 选 阻止
结束 runouce.exe进程 删除 system32/下的runouce.exe
最后 删除 注册表
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
下面的runouce.exe(不删也可以 反正它也启动不了了^_^)
重起试试没事了吧?
相关文章推荐
- qq自动传文件病毒变种分析及手工查杀一例
- 手工查杀病毒常见文件型分析总结
- 关于剪贴板内不断出现“中国网络游戏木马外挂黑客技术大全.."的病毒分析
- "新 CIH" 病毒的部分反汇编分析
- 中国的"云计算"何日开始?
- 最新病毒结合auto.exe,游戏盗号木马下载者手工查杀microsofts.vbs
- "按位取反加一"的新理解——在FFT频分析后如何获得其频率分量
- 华为跨国营销的"中国功夫"
- "道氏理论"--技术分析的鼻祖
- "中国首善"率首支民间自发大型抗灾队伍抵达灾区
- "传奇杀手"病毒的处理方法
- &#x开头的是什么编码呢。浏览器可以解释它。如中国等同与中文"中国"?
- 手工查杀myplayer病毒
- "Chinese" ---- 一个对中国人带有种族侮辱的称呼
- 手工查杀病毒入门基础知识简介
- 专家谈手工查杀AV终结者病毒详解
- “中国”制造:悍马(Hummer)病毒家族技术分析报告
- 病毒的手工排除与分析(更新完毕)
- 病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
- 手工查杀Win32/Pacex.Gen,Win32/Genetik,Win32/PSW.Agent.NCC,Win32/PSW.QQPass.VD病毒