黑客24小时在线接单网站

电脑高手24在线咨询,黑客24小时在线接单网站,黑客接单平台,黑客网站找人,黑客在线qq接单

2022年09月07日 09:00:22

fa2.sys木马病毒的简单介绍

本文目录一览:

急!这个木马怎么杀啊?

手工删除

1.我的电脑-工具--文件夹选项--查看-除去使用简单文件共享前的勾。

2.右击comresdk.dll,点击属性,会多出一个安全选项-(中间的)添加--选择用户或组,点高级--立即查找-双击你目前的管理员用户名-确定。

(我电脑里没comresdk.dll这个木马

不知道这样后有没有中间的安全选项)

3.返回到选择用户或组

,点确定--在comresdk.dll属性下组或用户名称中就有了你所设定的管理员用户。--点窗口下的高级--在弹出的comresdk.dll的高级安全设置窗口中选中过去的用户(不一定是SYSTEM,如果不是要先删除那个,才会出来SYSTEM,再来删除SYSTEM。下面两项如勾选过,把勾去掉)--编辑--全部清除--确定。

4.返回到comresdk.dll的高级安全设置窗口,点确定--回到comresdk.dll属性,把下面的完全控制勾选上--确定。这就完成了对此文件夹的控制权。

5.删除comresdk.dll

U盘病毒查不出来

病毒描述:

该病毒属木马类,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,该病毒盗取用户敏感信息,包括网络游戏的账号与密码等。

行为分析:

1、病毒运行后衍生病毒文件:

C:\WINDOWS\system32\dt.dll 其中dt.dll由rundll32.exe释放

C:\WINDOWS\Microsoft\rundll32.exe

C:\program files\internet explorer\use6.dll

各个分区(除C盘以外)根目录下:Autorun.inf及mplay.com

2、修改C:\\WINDOWS\system32\drivers\etc\hosts,添加如下规则:

HOSTS 文件

127.0.0.1 localhost

58.215.74.216 new3.etsoft.com.cn

58.215.74.216

58.215.74.216

58.215.74.216 wg770.com

3、修改注册表,添加启动项,以达到随机启动的目的:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

MicroC:\WINDOWS\Microsoft\rundll32.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

mainrundll32.exe "C:\program files\internet explorer\use6.dll" mymain

4、该病毒盗取用户敏感信息,包括网络游戏的账号与密码等:

病毒文件Microsoft\rundll32.exe由自启动直接运行,处于系统进程列表;病毒文件use6.dll由系统rundll32.exe调用;病毒文件dt.dll注入系统所有进程。

--------------------------------------------------------------------------------

清除方案: (建议先下载个UNLOCKER)

1、关闭系统还原,结束两个进程rundll32.exe;

2、打开选项“显示受保护的操作系统文件”“显示隐藏文件”(我的电脑--工具--文件夹选项--查看--)

删除以下文件:(文件删不掉的 安装UNLOCKER 右键--UNLOCKER后--再删除)

C:\WINDOWS\Microsoft\rundll32.exe

C:\program files\internet explorer\use6.dll

C:\WINDOWS\system32\dt.dll

WINDOWS文件夹内的cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe之类文件手动删除,

TEMP文件夹下的upxdnd.exe和upxdnd.dll文件手动删除。

C:下的SYS...之类包含ghook.dll和svchost.exe的2个文的文件夹删除;

(也可以进安全模式下直接删除)

3、修改注册表,删除以下两项:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

MicroC:\WINDOWS\Microsoft\rundll32.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

mainrundll32.exe "C:\program files\internet explorer\use6.dll" mymain

4、使用unlocker删除C:\\WINDOWS\system32\drivers\etc\hosts

5、使用资源管理器(开始-所有程序-附件-windows资源管理器)打开各个分区,删除所有分区下面的Autorun.inf及mplay.com (也可右键打开进去,但不要双击进入)

6:检查并清理启动项,(开始--运行--输入“MSCONFIG”--启动),重起

=============================

一、 病毒标签:

病毒名称: Trojan-PSW.Win32.OnLineGames.bs

病毒类型: 木马

文件 MD5: 7F0B267570B5C57FC21FA5844E3397BC

公开范围: 完全公开

危害等级: 3

文件长度: 30,208 字节

感染系统: windows98以上版本

开发工具: Microsoft Visual C++ 6.0

加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.22

命名对照: 驱逐舰[Trojan.PWS.Zhengtu]

BitDefender [Trojan.OnLineGames.bs]

二、 病毒描述:

该病毒属木马类,病毒运行后衍生病毒文件到临时文件夹下,修改注册表,添加启动项,以达到随机启动的目的。该木马可以盗取用户网络游戏的账号与密码。病毒会关闭瑞星反病毒软件,使瑞星无法启动查杀。

三、 行为分析:

1、病毒运行后衍生病毒文件到临时文件夹下:

%Temp%\mhs.dll

%Temp%\mhs.exe

2、修改注册表,添加启动项,以达到随机启动的目的:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

键值: 字串: "mhs"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\mhs.exe"

3、该木马可以盗取用户网络游戏的账号与密码。

4、病毒会关闭瑞星反病毒软件,使瑞星无法启动查杀。

注:% Temp %是一个可变路径。病毒通过查询操作系统来决定当前Temp文件夹的位置。Windows操作系统中默认的安装路径是C:\Documents and Settings\(用户名)\Local Settings\Temp。

四、 清除方案:

手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 关闭病毒进程

mhs.exe

(2) 删除病毒文件

%Temp%\mhs.dll

%Temp%\mhs.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

键值: 字串: "mhs"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\mhs.exe"

懂病毒的进来看一下

症状:瑞星扫描病毒时会报C:\WINDOWS\system32\drivers\Rinld.sys为病毒,病毒名是:Rootkit.CallGate.b ,提示重起电脑后删除该文件,但重新启动计算机后病毒仍然无法清除。

解决方案:

1、把文件夹选项设置成:勾选“显示所有文件和文件夹”,并把“隐藏受保护的操作系统文件”之前的小勾去掉,查找以下文件并删除:

C:\WINDOWS\SYSTEM32\RAVDM.EXE

C:\WINDOWS\SYSTEM32\drivers\Rinld.sys

2、查找腾讯QQ安装目录下的文件并删除:

QQ\TIMPlatfrom.exe

3、重启计算机。

(建议:卸载腾讯QQ软件或者开机不启动QQ,以保证彻底有效地清除病毒文件TIMPlatfrom.exe。处理完成之后您再重新安装腾讯QQ)

如果还不行:

染上这个毒后,杀软报告Rootkit.CallGate.b,报告的病毒文件是C:\WINDOWS\system32\drivers\Rinld.sys。重启系统后,杀软还是杀不掉。关键在于这个Rinld.sys比较厉害。而且,Rinld.sys与Ravdm.exe、TIMPlatform.exe三位一体,互相勾连。

这个木马的手工查杀,已经发过几个帖子。但那都是借助其它工具的杀毒方法。有些网友掌握不好操作顺序(尤其是不关闭QQ就杀毒),往往是杀不掉,或发生一些其它诡异现象。

现在这个手工杀毒方法从另一个角度着手。就叫做“改名—重启—删除”法吧。

操作流程:

1、将木马文件改名。

将下列文件的后缀改为.txt:

(1)将C:\Program Files\Tencent\QQ\TIMPlateform.exe改为:C:\Program Files\Tencent\QQ\TIMPlateform.txt

(2)将C:\WINDOWS\system32\drivers\Rinld.sys改为:C:\WINDOWS\system32\drivers\Rinld.txt

(3)将C:\WINDOWS\system32\Ravdm.exe改为:C:\WINDOWS\system32\Ravdm.txt

2、重启系统。

3、删除:

C:\Program Files\Tencent\QQ\TIMPlateform.txt

C:\WINDOWS\system32\drivers\Rinld.txt

C:\WINDOWS\system32\Ravdm.txt

至此,木马已经被杀死。

剩下的就是注册表中的垃圾。用SREng等工具清理一下即可。

瑞星的官网上有这些

标签:fa2.sys木马病毒 

作者:hacker , 分类:黑客在线qq接单 , 浏览:38 , 评论:3

  • 评论列表:
  •  馥妴辞忧
     发布于 2022-09-07 09:10:06  回复该评论
  • 个角度着手。就叫做“改名—重启—删除”法吧。 操作流程: 1、将木马文件改名。 将下列文件的后缀改为.txt: (1)将C:\Program Files\Tencent\QQ\TIMPlateform.e
  •  可难眉妩
     发布于 2022-09-07 14:35:28  回复该评论
  • 报C:\WINDOWS\system32\drivers\Rinld.sys为病毒,病毒名是:Rootkit.CallGate.b ,提示重起电脑后删除该文件,但重新启动计算机后病毒仍然无法清除。 解决方案: 1、把文件夹选项设置成
  •  只影折木
     发布于 2022-09-07 13:51:05  回复该评论
  • 58.215.74.216 58.215.74.216 wg770.com 3、修改注册表,添加启动项,以达到随机启动的目的: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windo

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.