MSN照片病毒变种查杀的办法
2007-12-18 16:31
429 查看
今天突然爆发msn照片变种病毒因为网络庞大全国各地的分公司都有连接据说病毒是从重庆分公司那边传到总部来的,不容想的时间马上找专杀,结果因为是12月份变种,杀毒软件和专杀工具根本就无法察觉病毒。这样病毒的爆发几乎是不可遏制的很多人都在不知道问题的情况下接收并查看了msn上传过来的照片病毒造成交替感染。
首先通过公司e-mail系统发布通知给大家希望大家看到通知后不要再接受文件
其次在已经搭建的虚拟机服务器上建了一个病毒测试机,用Total Uninstall监控病毒修改注册表和添加文件的情况
还好在拿到最终结果后放心了,文件产生的不算多只有两个并且,注册表值修改了三处。
最终根据监控情况编写了一个批处理和一个注册表文件问题解决
附监控情况和处理办法
被监视的应用程序
img2007-12.JPEG
监视于
2007-12-18 14:04:30
被监视应用程序路径
"C:\Documents and Settings\Administrator\桌面\photo2007-12\img2007-12.JPEG.com"
安装前快照名称
2007-12-18 14:03:27
安装后快照名称
2007-12-18 14:04:27
比较配置名称
默认
检测到的更改
文件系统
创建的文件夹 : 0
删除的文件夹 : 0
创建的文件 : 2
删除的文件 : 0
修改的文件 : 0
大小 : 42.75 KB
注册表
创建的键 : 0
删除的键 : 0
创建的值 : 2
删除的值 : 0
修改的值 : 1
大小 : 116 B
日志文件名
C:\Documents and Settings\Administrator\Local Settings\Application Data\Martau\Total Uninstall 4\MonitoredApps\img2007-12.JPEG.tun
文件系统详细信息 [查看: 全部详细信息] (全部)
--------------------------
(文件夹) C:\WINDOWS
(+)(文件) cservs.exe = 2007-12-18 3:30, 21821 字节, RHS
(+)(文件) photo2007-12.zip = 2007-12-18 14:04, 21957 字节, A
注册表详细信息 [查看: 全部详细信息] (全部)
-------------------------
(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(+)(注册表值) win32serv = REG_SZ, "cservs.exe"
(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
(*)(注册表值) NextDetectionTime
REG_SZ, "2007-12-18 05:56:56" ==> REG_SZ, "2007-12-18 11:04:16"
(+)(注册表值) UnableToDetectTime = REG_SZ, "2007-12-18 06:04:16"
根据下边的日志可以找到解决办法
"img2007-12.JPEG" - 卸载日志
--------------------------------------------------------------------------------
(确定)错误: 0 警告: 0 成功操作: 5
(确定)删除文件: C:\WINDOWS\photo2007-12.zip
(确定)确定
(确定)删除文件: C:\WINDOWS\cservs.exe
(确定)确定
(确定)删除注册表值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
(确定)确定
(确定)删除注册表值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@win32serv
(确定)确定
(确定)还原注册表值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
(确定)确定
生成解决文件
假设建立以一个 del.bat内容
taskkill /IM cservs.exe
del C:\WINDOWS\photo2007-12.zip
del C:\WINDOWS\cservs.exe
reg import img2007-12.JPEG.卸载1.reg
建立一个注册表文件 img2007-12.JPEG.卸载1.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"win32serv"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"NextDetectionTime"="2007-12-18 05:56:56"
"UnableToDetectTime"=-
两个文件一定要放在同一个目录里 运行 del.bat 问题解决了
首先通过公司e-mail系统发布通知给大家希望大家看到通知后不要再接受文件
其次在已经搭建的虚拟机服务器上建了一个病毒测试机,用Total Uninstall监控病毒修改注册表和添加文件的情况
还好在拿到最终结果后放心了,文件产生的不算多只有两个并且,注册表值修改了三处。
最终根据监控情况编写了一个批处理和一个注册表文件问题解决
附监控情况和处理办法
被监视的应用程序
img2007-12.JPEG
监视于
2007-12-18 14:04:30
被监视应用程序路径
"C:\Documents and Settings\Administrator\桌面\photo2007-12\img2007-12.JPEG.com"
安装前快照名称
2007-12-18 14:03:27
安装后快照名称
2007-12-18 14:04:27
比较配置名称
默认
检测到的更改
文件系统
创建的文件夹 : 0
删除的文件夹 : 0
创建的文件 : 2
删除的文件 : 0
修改的文件 : 0
大小 : 42.75 KB
注册表
创建的键 : 0
删除的键 : 0
创建的值 : 2
删除的值 : 0
修改的值 : 1
大小 : 116 B
日志文件名
C:\Documents and Settings\Administrator\Local Settings\Application Data\Martau\Total Uninstall 4\MonitoredApps\img2007-12.JPEG.tun
文件系统详细信息 [查看: 全部详细信息] (全部)
--------------------------
(文件夹) C:\WINDOWS
(+)(文件) cservs.exe = 2007-12-18 3:30, 21821 字节, RHS
(+)(文件) photo2007-12.zip = 2007-12-18 14:04, 21957 字节, A
注册表详细信息 [查看: 全部详细信息] (全部)
-------------------------
(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(+)(注册表值) win32serv = REG_SZ, "cservs.exe"
(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
(*)(注册表值) NextDetectionTime
REG_SZ, "2007-12-18 05:56:56" ==> REG_SZ, "2007-12-18 11:04:16"
(+)(注册表值) UnableToDetectTime = REG_SZ, "2007-12-18 06:04:16"
根据下边的日志可以找到解决办法
"img2007-12.JPEG" - 卸载日志
--------------------------------------------------------------------------------
(确定)错误: 0 警告: 0 成功操作: 5
(确定)删除文件: C:\WINDOWS\photo2007-12.zip
(确定)确定
(确定)删除文件: C:\WINDOWS\cservs.exe
(确定)确定
(确定)删除注册表值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
(确定)确定
(确定)删除注册表值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@win32serv
(确定)确定
(确定)还原注册表值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
(确定)确定
生成解决文件
假设建立以一个 del.bat内容
taskkill /IM cservs.exe
del C:\WINDOWS\photo2007-12.zip
del C:\WINDOWS\cservs.exe
reg import img2007-12.JPEG.卸载1.reg
建立一个注册表文件 img2007-12.JPEG.卸载1.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"win32serv"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"NextDetectionTime"="2007-12-18 05:56:56"
"UnableToDetectTime"=-
两个文件一定要放在同一个目录里 运行 del.bat 问题解决了
相关文章推荐
- 对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具
- (转)关于最近疯狂流行的文件夹变成exe文件的病毒查杀办法
- 中了MSN FUNNY病毒后,电脑登录时总是注销,无法进入系统的解决办法
- “MSN照片”病毒疯狂传播 已有数百台电脑中招
- 病毒conime.exe、mmlucj.exe、severe.exe 查杀办法
- 最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法
- qq自动传文件病毒变种分析及手工查杀一例
- 关键词:MSN变种病毒 专杀工具
- “MSN相片”变种病毒
- '熊猫烧香'病毒专题:多少变种,怎么破坏,如何查杀?
- 威金变种病毒的查杀方法
- 查杀_desktop病毒的批处理办法
- 2006年十大病毒及手工查杀办法
- winlogon.exe病毒的查杀方法
- 手动查杀病毒的一般方法
- 彻底查杀维金ViKing病毒
- .scr 病毒查杀分析及方法
- 病毒木马查杀实战第006篇:熊猫烧香之逆向分析(中)
- 如何用java写个病毒查杀软件
- 病毒autorun.vbs查杀方法