感染explorer.exe,使用映像劫持,ShellExecHook…的AV杀手GRHSGIH.EXE2

简介: 感染explorer.exe,使用映像劫持,ShellExecHook…的AV杀手GRHSGIH.EXE2

从pe_xscan 的 log上看,这个AV杀手使用的招术与

使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等1

 http://endurer.bokee.com/6595295.html http://blog.nnsky.com/blog_view_266928.html http://blog.sina.com.cn/s/blog_49926d910100859d.html

相似,不过多了两招:

禁止复制/粘贴

感染explorer.exe

先下载 对付感染型的恶意程序一向表现不错的 DrWeb CureIt! 备用,到  http://endurer.ys168.com 下载 IceSword,HijackThis,到  http://endurer.ys168.com 下载 FileInfo 和 bat_do,然后断开网线。

打开注册表编辑器 regedit.exe,删除 O23、O24、O26 对应的项目。

运行IceSowrd,也被恶意程序模拟按键关闭了。

运行HijackThis,打开内置的进程管理工具终止恶意程序进程,不过终止后又重生了。

于是用 HijackThis 先修复 F1、F2、O1、O2、O4 项。

用FileInfo提取log中红色显示的文件的信息,然后把这些文件加入bat_do,打包备份后,延时删除~

运行 DrWeb CureIt! 扫描,首先提示 explorer.exe 被感染,选择了修复操作……后来DrWeb CureIt!也被病毒进程关闭了~再次运行 DrWeb CureIt!, 扫描了一会又被关闭了……

还是先清空IE临时缓存,系统临时文件夹,重启电脑罢……

先尝试进入安全模式,结果蓝屏出错,还是以一般模式启动。

金山毒霸监控中心图标又在系统托盘区出现了,复制/粘贴也恢复正常了~

再次运行 DrWeb CureIt! 扫描,又扫出一些……没等扫描完成,上班时间就到了~

后来朋友通过QQ说DrWeb CureIt! 扫描/修复出了2000多个……

让网友用IceSword检查 log 中的红色显示的文件,有则强制删除,然后用:sfc /scannow 命令检修系统文件……


相关文章
|
2月前
|
网络协议 安全
使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等1
使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等1
遭遇修改系统时间、使用映像劫持的xibgptd.exe,netdde32.exe等2
遭遇修改系统时间、使用映像劫持的xibgptd.exe,netdde32.exe等2
遭遇修改系统时间、使用映像劫持的xibgptd.exe,netdde32.exe等1
遭遇修改系统时间、使用映像劫持的xibgptd.exe,netdde32.exe等1
|
2月前
|
Shell Windows
使用了 rootkit 技术的 soundmix.dll
使用了 rootkit 技术的 soundmix.dll
|
2月前
|
安全 JavaScript 前端开发
某政府网站被挂木马txet.exe/Trojan-PSW.Win32.QQRob.iy
某政府网站被挂木马txet.exe/Trojan-PSW.Win32.QQRob.iy
|
2月前
|
安全 Windows
木马windowout.exe
木马windowout.exe
|
安全 Windows
病毒注册表常用目标Svchost和Explorer
Windows系统的Svchost.exe和Explorer.exe两种进程,作为Windows系统中两种重要的进程,下面我们就来看看他们的特点以及在各个操作系统中的应用。   Explorer.exe 在Windows系列的操作系统中,运行时都会启动一个名为Explorer.exe的进程。
1190 0