高校问答西游记17回概括300字:我的电脑感染了Trojan.PSW.Misc.gen,请问怎样处理?瑞星杀了之后开机又有了?
来源:百度文库 编辑:高校问答 时间:2024/04/29 22:50:27
Trojan.PSW.Misc.Gen专杀工具 2006-5-23更新 下载http://www.mys530.com/rs/zs/Trojan.PSW.Misc.Gen.rar
这个专杀工具下不了~可不可以提供另外的地址
于木马,病毒Trojan.PSW.Misc(LSASS)的分析
这个病毒具有木马病毒双重性质.不过说是木马较为贴切些。(以下测试结果在XP系统下所得)
下面是对此木马的分析报告:
技术特点分析:
1.采用系统文件隐藏方式隐藏程序文件.
2.采用多种启动方式,主要有:文件关联、autorun.inf、程序文件关联启动
3.注册表中添加启动项目
4.停止杀软实时监控模式.
如果删除方法不当将导致如下情况 : (这些状况也可以认为此木马带有病毒性质了)
1.导致D盘无法双击打开
2.导致浏览器无法打开.
3.导致所有exe程序无法打开.
4.导致杀软监控模块损坏.
木马运行过程分析:
1.生成如下文件:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Winsock32.DLL.SCF
D:\autorun.inf
D:\command.com
2.在注册表中生成如下项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command
3.在注册表中添加如下项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command\: ""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\LocalizedString: 49 4E 54 45 58 50 4C 4F 52 45 00 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP: "C:\WINDOWS\LSASS.exe"
4.在注册表中修改如下键值: (上面的项目是原来的,紧靠着的下面的是修改之后的值)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "WindowFiles"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\: ""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\common~1\INTEXPLORE.pif" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\common~1\INTEXPLORE.pif" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\: "IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\: "INTEXPLORE.pif"
注意压缩包解压后,里面的文件有文件是隐藏模式下的,请取消所有隐藏模式方才可以看见.
产生一个进程c:\windows\lsass进程.任务管理器可见
Trojan.PSW.Misc.Gen专杀工具 2006-5-23更新 下载http://www.mys530.com/rs/zs/Trojan.PSW.Misc.Gen.rar
近日发现Trojan.PSW.Misc.Gen出现N多变种,由于我最近一直在筹备病毒应急中心,所以专杀工具可能无法及时更新,请大家把病毒样本及时上报给各大杀毒厂商!
此病毒对瑞星杀毒及防火墙有极强的杀伤力!并且修改注册表系统无法正常运行!本专杀可以清除病毒,并修复系统.
进入安全模式再杀
摁删除
我的电脑也有这个病毒,都好几年了
怎么杀都杀不掉,重装系统也同样会出现,比较麻烦