new.exe进程病毒,在C:\windows\system32
new.exe进程,在C:\windows\system32里把new.exe删了,重启又有了.怎样才能杀掉...期待高手.一出现这个进程就不能上网,怎么杀也杀不掉,会出现很多个这个进程在任务管理器中,,求助 进入安全模式下,搜索new.exe文件,然后删除。 删除文件后,建一个new.exe文件夹 用冰刃看看. 用autoruns检查所有可疑启动项,并删除,进pe环境杀毒,如果知道是什么病毒的话,直接删文件,并安装免疫。。。 1. 该病毒是个PE病毒,采用不常用的加壳工具加密,加密后长度为14,032字节;2. 检查注册表,如果注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
下面存在子键 SvcSys,则
a) 删除此子键;
b) 删除子键
HKEY_CLASSES_ROOT\CLSID\{RANDOM}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{RANDOM} ;
c) 拷贝自身到 %SYSTEM%\new.exe,并且在注册表项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
下面创建子键
"SvcSys" = "%SYSTEM%\new.exe";
如果不存在子键 SvcSys,则
a) 在注册表项
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
下面创建子键
"SvcSys" = {RANDOM}
b) 在注册表项
HKEY_CLASSES_ROOT\CLSID\{RANDOM}\InprocServer32"
下面创建子键
"Default" = svcsys.dll
c) 删除注册表项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
的 SvcSys 子键;
d) 释放出文件 %SYSTEM%\svcsys.dll;
e) 注入有害代码到进程 svchost.exe,使其运行时加载文件 %SYSTEM%\svcsys.dll;
3. svcsys.dll 是个动态链接库,长度为12,288字节,病毒名为W32/Agent.GB-tr,分析如下:
a) 每10.8秒连接网址 http://veni-vini-vici/111.exe 一次,将下载的文件存为
%TEMP%\http://veni-vini-vici/111.exe,并执行;
b) 修改注册表项,使调用此病毒DLL的程序可以安全通过防火墙;
c) 连接网址
http://veni-vini-vici/log.php?id={RANDOM}&data=Done%26%26
d) 搜索用户向标题含有下列内容的窗口输入的内容,并存储在文件 %SYSTEM%\sysdll.dll中,
发送给 [email]testvsakogogavna@rambler.ru[/email]。
bank
banc
banco
singin
online
ANZ Internet Banking - Logon
ANZ E*Trade
commbank.com.au
Westpac online
Business Online
ib.national.com.au
Bienvenido
Banesto
Clave de Operaciones
Clave de firma
firma 什么病毒啊。发个样本来不.
楼主 把文件打包 放上来..
用这么麻烦的杀么。 找个专杀看看 `~~
页:
[1]