nx.exe systom.exe病毒清除办法
新客网 XKER.COM 2007-11-21 来源: 收藏本文
nx.exe systom.exe病毒简介
File: nx.exe
Size: 28160 bytes
Modified: 2007年10月15日, 23:05:30
MD5: 3C35C8AEC2D8DAA9ECDC026C2600141A
SHA1: C230D86618F3D6758E30F4933225A93C3E705DF2
CRC32: C6E542DB
Size: 28160 bytes
Modified: 2007年10月15日, 23:05:30
MD5: 3C35C8AEC2D8DAA9ECDC026C2600141A
SHA1: C230D86618F3D6758E30F4933225A93C3E705DF2
CRC32: C6E542DB
nx.exe systom.exe病毒分析
1.病毒运行后,释放如下副本:
%systemroot%\system32\Systom.exe
在每个分区下面生成autorun.inf 和nx.exe
1.病毒运行后,释放如下副本:
%systemroot%\system32\Systom.exe
在每个分区下面生成autorun.inf 和nx.exe
2.调用reg.exe进行如下操作:
添加自身启动项目
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
禁用windows自动更新
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用任务管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f
破坏显示隐藏文件
将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 的值设置为0
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 显示所有文件和文件夹 /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_dword /d 00000002 /
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用任务管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f
破坏显示隐藏文件
将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 的值设置为0
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 显示所有文件和文件夹 /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_dword /d 00000002 /
破坏安全模式
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持项目指向%systemroot%\system32\Systom.exe(篇幅所限,仅贴图示意)
4.遍历各个分区删除.GHO文件
5.感染各个分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件
6.连接http://www.88baobaomm.bj.cn/tj.asp做感染统计
7.读取http://www.88baobaomm.bj.cn1.txt~http://www.88baobaomm.bj.cn3.txt中的内容 进行下载木马,锁定主页或者根据文本文档中的内容关闭指定窗口等破坏操作。
但所有链接已失效。
但所有链接已失效。
8.病毒体内有字样“niux”
相关文章- ·认识映象劫持技术原理与解决办法
- ·大水牛下载者分析及手工清除办法
- ·计算机病毒中毒症状、预防和系统恢复
- ·mdm.exe专杀以及处理方法
- ·手工清除病毒mdm.exe和RavMon.exe
- ·mdm.exe病毒的解决方法
- ·不再草木皆兵 三招对付捆绑木马!
- ·如何清除Taskmgr.exe病毒
- ·taskmgr.exe进程CPU占用率高的原因
- ·taskmgr.exe系统进程及相关病毒介绍
- ·QQ“缘”病毒taskmgr.exe狂占CPU内存
- ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办法
- ·巧治Vista下U盘自动运行病毒方法
- ·计算机病毒的说明、预防和恢复
- ·病毒反抗杀毒软件主要手段
- ·经典九招 防止自动播放引来病毒
- ·文件关联型木马的特殊化查杀
- ·SVCHOST.EXE病毒清除及专杀工具
发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。