★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

硬盘终结者病毒解决办法(附病毒样本)

[复制链接]
发表于 2009-4-17 16:32:45 | 显示全部楼层 |阅读模式
我会在楼下附上样本!但是没有事先做好准备绝对不可以运行!!否则你硬盘上的文件就都没了!!切记!!切记!!!

  
在卡饭样本区发现了这个病毒,这个病毒是以一个指向MS-DOS程序的快捷方式形式出现的,而不是exe等可执行文件的形式,这样的话就屏蔽了杀毒软件的右键扫描,如果大意的话是很容易中招的!!运行一下发现行为很恶劣,它会删除你除了系统盘以外所有盘符里的文件,就写了这个病毒报告,一来给大家做个警示!二来对中了这个病毒的人,给出个杀毒、修复和恢复文件的方法!

  运行后生成以下病毒文件,删除QQ文件,就连QQlive里的文件都给清空了!!(无论你的QQ在哪个盘里,包括系统盘,我的QQ就在系统盘)至于系统盘里还有没有别的文件被删除,现在还没有发现,我的QQ没有完全的删除,因为运行病毒的时候我的QQ正在登录,有些正在使用的文件就没有删除,但重启之后QQ就无法运行了!!

  C:\\DocumentsandSettings\\AllUsers\\「开始」菜单\\程序\\启动\\svchost.com

  C:\\WINDOWS\\system32\\dllcache\\taskmgr.exe

  C:\\WINDOWS\\system32\\飞越星球.scr

  C:\\WINDOWS\\system32\\wins.com

  C:\\WINDOWS\\system32\\taskmgr.exe

  C:\\DocumentsandSettings\\AllUsers\\ApplicationData\\Microsoft\\win1ogon.exe

  C:\\DocumentsandSettings\\Administrator\\LocalSettings\\Temp\\E_4\\krnln.fnr

  D:\\SVCHOST.EXE

  C:\\DocumentsandSettings\\Administrator\\桌面\\警告.h

  D:\\警告.h

  会在你的桌面和除系统盘以外的所以盘根目录下生成这个警告.h文件,这个警告文件里是这样写的:这是在桌面生成的

1.jpg

  这是在D盘根目录下生成的(出系统盘外,我就有一个D盘^_^)

2.jpg

运行病毒完了就这样了


3.jpg


这个时候任务管理器打不开,运行打不开,关机关不了!

4.jpg

下面是这个病毒运行痕迹,用EQ监视的

  2008-04-2420:54:53运行应用程序操作:允许

  进程路径:C:\\WINDOWS\\Explorer.EXE

  文件路径:D:\\硬盘终结者\\svchost.bmp.pif

  触发规则:所有程序规则->*

  2008-04-2420:55:24修改文件操作:允许

  进程路径:D:\\硬盘终结者\\svchost.bmp.pif

  文件路径:C:\\WINDOWS\\system32\\taskmgr.exe

  触发规则:所有程序规则->系统文件->%WinDir%\\system32\\*.exe

  2008-04-2420:55:54修改文件操作:允许

  进程路径:D:\\硬盘终结者\\svchost.bmp.pif

  文件路径:(隐藏文件>C:\\WINDOWS\\system32\\taskmgr.exe

  触发规则:所有程序规则->系统文件->%WinDir%\\system32\\*.exe

  2008-04-2420:56:38创建注册表值操作:允许

  进程路径:D:\\硬盘终结者\\svchost.bmp.pif

  注册表路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

  注册表名称:svchost.exe

  触发规则:所有程序规则->系统自动运行

  >*\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run*

  2008-04-2420:57:08修改注册表内容操作:允许

  进程路径:D:\\硬盘终结者\\svchost.bmp.pif

  注册表路径:HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command

  注册表名称:[Default]

  触发规则:所有程序规则->文件类型关联

  >HKEY_CLASSES_ROOT\\Txtfile\\Shell\\Open\\Command

  2008-04-2420:57:23修改注册表内容操作:允许

  进程路径:D:\\硬盘终结者\\svchost.bmp.pif

  注册表路径:

  HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

  注册表名称:Hidden

  触发规则:所有程序规则->系统设置

  >HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

  2008-04-2420:57:34删除注册表操作:允许

  进程路径:D:\\硬盘终结者\\svchost.bmp.pif

  注册表路径:

  HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden

  注册表名称:SHOWALL

  触发规则:所有程序规则->系统设置

  >HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden

  2008-04-2420:58:09安装服务或者驱动操作:允许

  进程路径:D:\\硬盘终结者\\svchost.bmp.pif

  文件路径:C:\\windows\\system32\\wins.com

  触发规则:所有程序规则->*

  2008-04-2420:58:46修改文件操作:允许

  进程路径:D:\\硬盘终结者\\svchost.bmp.pif

  文件路径:D:\\AutoRun.inf

  触发规则:所有程序规则->系统文件->?:\\autorun.inf

  2008-04-2420:59:26运行应用程序操作:允许

  进程路径:D:\\硬盘终结者\\svchost.bmp.pif

  文件路径:C:\\WINDOWS\\system32\\logoff.exe

  触发规则:所有程序规则->*

  2008-04-2421:00:55关闭/重启系统操作:允许

  进程路径:C:\\WINDOWS\\system32\\logoff.exe

  触发规则:所有程序规则->*

  为了让这个病毒运行完整,达到它理想中的破坏目的,我一律允许,包括重启。

  重启后就是杀毒和清理、修复依据恢复数据的过程了,重启后红伞打开(因为不把红伞的监控关掉,这个病毒是运行不了的!)马上报毒,开杀!(为了省事就没有手动删除,用红伞全盘扫描,杀掉所有病毒),杀完病毒还得修复病毒对系统的破坏,首先去别的系统里复制一个taskmgr.exe到系统盘的windows\\system32文件夹里,然后用SREngPS.exe修复文件关联后,这个文件关联是把txt指向C:\\DocumentsandSettings\\AllUsers\\ApplicationData\\Microsoft\\win1ogon.exe,也就是当你打开txt文件就会激活病毒!再删除这项(见下图)


5.jpg

 导入“显示隐藏文件.reg”(在2楼),因为我用wsyscheck修复显示隐藏文件后,隐藏的文件是显示了,但是文件夹选项里却缺了,显示所有文件和文件夹的这个选项(见下图)

  在1里面没有了“显示所有文件和文件夹”的这个选项

  2这个是我从来都不选的,它给我选上了^_^


6.jpg

删除注册表项

  HKEY_LOCAL_MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN右侧的SVCHOST.EXE键值

  删除注册表项

  HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies下的所有子建,然后导入“恢复运行注销项.reg”(在3楼)到这里就所有的都修复完毕!重启!(如果在开始菜单还是不能重启的话,就用任务管理器重启,重启后就正常了)还有一点就是如果你的杀软不能完全的杀掉所有生成的病毒,就按照路径手动删除也可以!

  重启后就是恢复被病毒删除的文件了,我是用“易我数据恢复向导V2.1.0”恢复的(整整浪费了我一个多小时)但是一定要谨记,不能把恢复的文件恢复到正在恢复文件的盘里,而且也不能把文件恢复到别的需要恢复文件的盘里,(也就是你需要恢复文件的盘里一定不要再往里写入文件,否则会破坏你要恢复的文件,以至于恢复了文件也不可用了!!一定切记!!)

  最后:估计写病毒这哥们是个卖数据恢复软件的,要不怎么对删除文件这么感兴

评分

参与人数 1贡献 +2 好评度 +10 收起 理由
浮夸。 + 2 + 10 不错,继续努力!

查看全部评分

发表于 2009-4-17 18:00:50 | 显示全部楼层
有点复杂啊`
发表于 2009-4-18 21:26:20 | 显示全部楼层
嗯,写得不错,辛苦了,谢谢!:hug:
发表于 2009-4-20 12:38:33 | 显示全部楼层
这种毒还没见过,MS-DOS程序,一般不会去点这种程序,只要我电脑里出现不是我安装的理都不爱理,占我资源的通通删掉,但现在有删掉也可以恢复的软件了,格式化后也能恢复被删的文件,把毒清理在恢复文件就可以了, 网上搜索下软件就有了.
发表于 2009-5-7 08:45:33 | 显示全部楼层
好东西,感谢楼主分享。。。学习啦~:)
发表于 2009-5-23 12:55:40 | 显示全部楼层
:D;: :D;: :D;: 好复杂,有点看不下去了.
发表于 2009-5-23 12:56:24 | 显示全部楼层
哇,好詳盡,謝謝~~~載下來慢慢看,慢慢學~~
发表于 2009-7-21 09:12:28 | 显示全部楼层
辛苦了,谢谢啊
发表于 2009-7-21 11:18:44 | 显示全部楼层
学习了,很好,今后注意
发表于 2009-7-21 12:42:50 | 显示全部楼层
没事发病毒玩。。。。。
发表于 2009-7-21 13:35:00 | 显示全部楼层
中毒最好的处理方法。。。100%有效果。。。。。就是。。全盘格式化。。。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-11-22 08:54 , Processed in 0.126119 second(s), 31 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表