寄生兽田宫良子图片:Backdoor.Hesive.C 这是什么病毒 怎么杀?
来源:百度文库 编辑:高考问答 时间:2024/04/27 22:33:49
谁告诉我着是什么病毒这么厉害
杀了 他 还弹 重起 了 一不顶用
那位大虾 知道 帮下哦
会的 ++偶QQ 357869877 拜托老!~~
一)上微软中国网站的下载中心,下载“windwos恶意软件删除工具”如真是恶棍软件,微软就收拾了。二)下载个优化类软件,也有实用的杀毒功能,和清理功能,同时还有加快作用,清理一下,效果极佳!!!
找到后.进安全模式里在删.
是个木马程序吧,1.系统响应速度减慢;
2.在 Win NT/Win 2K/Win XP 下无其他明显现象;
3.在 Win 9X 下,存在文件:
%SYSTEM%\{RANDOM CHARS}.dll
%SYSTEM%\{RANDOM CHARS}.sys
%SYSTEM%\{RANDOM CHARS}.drv
%SYSTEM%\{RANDOM CHARS}.log
注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串;
行为分析:
1.这是一个 PE 病毒,病毒长度为 51,037 字节;
2.创建如下文件:
%SYSTEM%\{RANDOM CHARS}.dll (释放的文件,一个后门程序,Fortinet 检测为:W32/Hesive.C!tr)
%SYSTEM%\{RANDOM CHARS}.sys (释放的rootkit ,Fortinet 检测为:W32/Hesive.C!tr.rootkit)
%SYSTEM%\{RANDOM CHARS}.drv (一个键盘记录器,Fortinet 检测为:W32/PcClient.C-bdr )
%SYSTEM%\{RANDOM CHARS}.log (记录键盘动作的文本文件,无危害)
注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串;
3.注入 Windows 进程:iexplore.exe;
4.创建如下子键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{RANDOM CHARS}
注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串;
5.试图创建如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
“ServiceDLL”=“%SYSTEM%\{RANDOM CHARS}.dll”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“(default)”=“rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll,Do98Work”
6.使用 rootkit 隐藏病毒文件(仅 NT 核心的系统下有效);
7.连接到远端服务器 http://222.56.52.192 的 80 端口,试图下载文件(此网址已被屏蔽);
清除方法:
1.进入安全模式,删除如下文件:
%SYSTEM%\{RANDOM CHARS}.dll
%SYSTEM%\{RANDOM CHARS}.sys
%SYSTEM%\{RANDOM CHARS}.drv
%SYSTEM%\{RANDOM CHARS}.log
2.删除注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{RANDOM CHARS}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
“ServiceDLL”=“%SYSTEM%\{RANDOM CHARS}.dll”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“(default)”=“rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll,Do98Work”
推荐,在安全模式下运行杀毒软件,