与启动项病毒斗争小记

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:
这张图里红色方框里的4个启动项无法删除,用过的方法有,兔子,WINDOWS优化大师,卡卡上网助手,还是失败,所有用软件删除启动项在重起电脑之后还是一样,删除的文件也会重新在相应的文件夹下生成
既然那么多软件都用不上,那就手动来删除,不信治不了它 

以下是这些病毒程序的相关信息和修复方式
大部分信息来源于GOOGLE,BAIDU 

NORTONS。EXE
我的电脑是用瑞星的,所以有个NORTON的启动项会非常奇怪 

最后发现了这个病毒
Worm.P2P.Ariver
破坏方法:一个利用p2p软件共享进行传播的蠕虫病毒
病毒行为:
病毒运行后从注册表中查询出p2p软件的共享目录,并将自己复制
过去文件名为以下文件名:
Winamp 4.0 Full version.exe,Acrobat 6.0 Update.exe,ActSkin 4 Crack.exe
Carmagedon 4 no CD Crack.exe,Corel Draw 10 Frames Update.exe,Delphi 7 Download Setup.exe
Delphi 7 Key Generator.exe,Delphi Projects Free v1.0.exe,Duke Nuke Manhattan Project no CD Crack.exe
DVD Rip.exe,DVD Writer 1.0.exe,EartWorm Jim 3D Crack.exe,Fifa 2004 Crack no CD.exe
GTA 2 Cheats Enabler.exe,GTA 3 no CD Crack.exe,GTA 4 no CD Crack.exe,GTA 3 Full.exe
Memory Manager Full.exe,PhotoShop 8.0 KeyGen.exe,Plus! for XP Download Setup.exe
Resident Evil 4 no CD Crack.exe,Unreal Tournament 2003 no CD Crack.exe,Unreal Tournament 2003 full.exe
Winamp 4.1 Download Setup.exe,WinXp Update Pack 3.exe,WinXp Update Pack 4.exe,Write Crack in Delphi (Guide).exe
Writing BackDoors (Guide).exe,Pussy Request Full (Best).exe,Delphi 8 Trial.exe,Command Conquer 4.exe
Virus Maker 10.1.exe,WinXp Securit Update.exe,WinXp Block User v5.0.exe,Winamp Skin Maker 2.0.exe
Replicator 1.0.exe,VMware WorkStation 4.2.0 Full.exe,Block Hackers FireWall.exe
Requiem Avenging Angel 2 Full.exe,Need For Speed 6 Full.exe,Road Rash 3D 2.exe,Resident Evil 4 (The Dark Angel).exe
Rally 5.exe,Star Trek 4.exe,Mdk 3 (The Super Game).exe,Alien vs Predator 4 Full.exe,Mortal Kombat 5 (Full).exe
Jedi Knights 3 (The Plasma).exe,Corel Draw 11 Crack.exe,Medabots Animation 1.0.exe,Age of Empires III Full.exe
Tomb Raider 6 The Final Adventure.exe,Wing Commander Full.exe,Microsoft Icom Creator 2.0.exe,Microsoft Draw 3.exe
Microsoft Office XP 2003.exe,McAfee Firewall 4 Full.exe,McAfee ViruScan 7 With Serial.exe
McAfee Serialz for all products.exe,Norton AntiVirus 8 Full.exe,4000 Serialz.exe
Norton Clean 7.exe,Norton Disk Doctor 5 Full.exe,Serialz for all Nortons.exe
WinIso 7 full with Key Generator.exe,Nero Burning Room 7 Full.exe,Nero Burning Room key Generator.exe
Nero All Paths Update.exe,AcdSee 6.0 Download Setup.exe,AcdSee Serial for all version.exe
W32dasm 11 Full.exe,Red Hat Linux 8.1(Isos).exe,Windows 2000 Service Pack 3.exe,Red Light 7.0 Full.exe
Norton Ghost 2003.exe,Max Payne 2 Full.exe
以诱骗网络用户下载运行,达到传播目的。 


参考资料:[url]http://www.viruschina.com/news/Vdatabase_detail.asp?id=1322[/url]



mppds.exe 

该病毒伴生多种病毒,因此各个中毒的情况是不完全一致的 

清除步骤:
1、关闭系统还原(Win2000系统可以忽略):右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。 

2、开始--运行--regedit,打开注册表,点注册表中的"我的电脑"—>点"编辑"—>查找,输入mppds.exe ,找到的项目就点右键--删除,按F3继续,直到查找完毕. (同样的方法查找并删除以下:iexp1ora.exe, winlog0a.exe,crasos.exe,iexpl0ra.exe,rundl13a.exe,Servera.exe, c0nima.exe,cftmoa.exe,3.exe,SystemKb.sys,respri.dll,iexpl0re.exe) 

3、显示“受保护的操作系统文件”

删除以下文件:
C:\WINDOWS\winlog0a.exe
C:\WINDOWS\iexp1ora.exe
C:\WINDOWS\iexpl0ra.exe
C:\WINDOWS\Servera.exe
C:\WINDOWS\crasos.exe
C:\WINDOWS\rundl13a.exe
C:\WINDOWS\c0nima.exe
C:\WINDOWS\cftmoa.exe
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\WINDOWS\system32\respri.dll
C:\DOCUME~1\HUANGL~1\LOCALS~1\Temp\3.exe 

4、重启计算机,病毒清除完毕。 


cmdbcs.exe 

trojan psw.win32是一个木马病毒,病毒通过记录键盘的动作来盗取用户传奇的密码, 

并且该病毒具有对抗杀毒软件的一些行为,使用户更难发现和杀毒。
木马 cmdbcs.exe cmdbcs.dll 手工清除方法 

一、病毒行为分析 

木马运行后复制自身到系统目录:
Windows\cmdbcs.exe
释放System\cmdbcs.dll注入进程。
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe" 

二、手工清除步骤 

1. 删除木马启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe"
2. 重新启动计算机
3. 删除木马文件和目录:
Windows\cmdbcs.exe
System 32\cmdbcs.dll 


以上那些都是在GOOGLE或者百度上面可以找到的,我还有最完美的删除这4个未知启动项的方法: 

强烈推荐一个小软件SREng(这个小程序对电脑的修复帮助很大) 

操作方法: 

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng (就是你扫日志的软件)启动项目 注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)
[nortons][D:\WINDOWS\nortons.exe]
[mppds][D:\WINDOWS\mppds.exe]
[cmdbcs][D:\WINDOWS\cmdbcs.exe]
[yupxdnd][D:\DOCUME~1\xb\LOCALS~1\Temp\yupxdnd.exe] 

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
96E3286E / 96E3286E 35541c4e 


在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”: 

New0 / New0
XPROTECTOR / XPROTECTOR 

双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
然后删除
C:\WINDOWS\System32\new.sys
C:\WINDOWS\system32\drivers\Oreans.sys
C:\WINDOWS\System32\mppds.dll
C:\WINDOWS\System32\cmdbcs.dll
C:\WINDOWS\System32\80E66A68.exe
C:\WINDOWS\System32\96E3286E.EXE
C:\WINDOWS\nortons.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\cmdbcs.exe
C:\DOCUME~1\xb\LOCALS~1\Temp下面所有文件
(如果你操作的时候发现某些文件不存在,说明你被感染的还不严重,不用太担心了,GOOD LUCK) 

最后总结:
跟这几个启动项也斗争几天了,现在一下子没有它们了,还真有点舍不得,不知道我这个经历对于其他人是不是有帮助,不过还是想强烈推荐SRENG,以下是它的一些介绍
一、SREng 是什么? 

SREng,全名System Repair Engineer(SREng):一般翻译为系统修复工程师,是世界上最先进的系统辅助分析工具之一。他的日志比hiJakcthis的更全(体现在hijackthis会遗漏一些启动项)另外 SREng的日志能提供更详细的诊断信息,方便清除QQ尾巴等顽固病毒。 


------------- 如下封装的内容为官方网站的说明 ------------------ 

System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。他的日志比 hiJakcthis的更全(体现在hijackthis会遗漏一些启动项)另外 SREng的日志能提供更详细的诊断信息,方便清除QQ尾巴等顽固病毒。 

本工具的前身是 RegFix 注册表关键值修复工具,由于 RegFix 注册表关键值修复工具的局限性和当前系统环境的复杂性,我重新设计了一个新的软件,即 System Repair Engineer (SREng) 。 

System Repair Engineer 的开发目的是: 

提供一个能够较快诊断出系统常见故障的工具。 

能够修复大多数常见的故障。 

能够生成一个扫描报告。 

能够运行于多种操作系统平台下,支持多语言界面。 

具备一定的自动检测修复能力。 

便于扩充并且能够以最小的代价进行扩充。 

System Adjust / Repair Utility 采用Microsoft Visual C++ .NET 2003 / MFC7.1开发,在MFC类库的基础上结合 Win32 API 做了适当的扩充以满足软件的需求。 

在 System Repair Engineer (SREng) 2.0版本里面,开放了近 20 项和系统维护相关的功能。System Repair Engineer 

(SREng) 提供了以下一些功能: 

注册表启动组配置功能:能够允许/禁止注册表启动项是否随机启动。对于一些隐蔽启动组能够检测是否被篡改,如果默认值被篡改则会提示用户。 

常规启动组(使用启动文件夹启动的启动组)配置功能:能够允许/禁止文件夹启动项是否随机启动。 

WIN.INI、SYSTEM.INI、AUTOEXEC.BAT、CONFIG.SYS 配置功能:删除、新增、编辑项目。 

BOOT.INI配置功能:设置BOOT.INI默认启动项、设置延时时间,设置启动开关等。 

Win32服务配置功能:提供服务信息的枚举、禁用服务和删除服务功能。能够隐藏由 Microsoft Corp 发行的服务。 

常见文件关联默认值自动检查修复功能 

Windows Shell 修复功能:修复常见的 Windows Shell 故障。 

Internet Explorer 修复功能:修复常见的 Internet Explorer 故障。 

浏览器加载项管理功能:包括BHO、工具栏、ActiveX、右键菜单项等。 

HOSTS文件配置功能:编辑、删除、新增HOSTS条目信息, 

Winsock Provider 配置功能:察看、删除Winsock Provider条目信息, 

智能扫描功能:智能扫描功能将扫描你的系统并给出一个详细的报告,在这个报告的帮助下,系统管理员能够发现一些你系统中存在的错误并告诉你如何使用 System Repair Engineer 或其他工具解决这些错误。 

我的扩展功能:以规则库的形式允许用户之间交换各自的配置,软件发行者也能够通过提供额外的规则库来增强软件的功能而不需要重新下载可执行文件。规则库的体积非常小巧,便于通过网络传输。 

内置的在线提示窗口:随时查看一些关键点的帮助信息。 

多语言自动切换功能或手工指定界面语言功能:想看什么语言界面就看什么语言界面,随心所欲。 

大部分操作不需要重启或注销就能够立即生效功能:改变以往要使设置生效需要注销重新登陆的局面。 

------------- 如上封装的内容为官方网站的说明 ------------------
二、SREng 如何修复 

前提: SREng修复时,全部要求在安全模式下进行,以防止常规模式下清除不干净。 

(安全模式是在重启电脑时按F8 选择进入“安全模式”) 

1 注册表: 

运行SREng主程序 点 启动 -->注册表 里找启动 ,找到有问题的,点“删除按钮” 

并注意手动删除相关的文件。 

2 服务: 

SREng主程序 点 启动 -->服务 里找“服务” 

(勾选 隐藏微软的服务),选中有问题的服务后,点“删除所选服务”按钮确定即可。 

(操作同上面的删除服务) 

SRENG的官方网站为  [url]http://www.kztechs.com/sreng[/url]
 
转自星辉博客












本文转自starger51CTO博客,原文链接: http://blog.51cto.com/starger/21971 ,如需转载请自行联系原作者




相关实践学习
通过日志服务实现云资源OSS的安全审计
本实验介绍如何通过日志服务实现云资源OSS的安全审计。
相关文章
|
存储 SQL 关系型数据库
TiDB的优势:为何选择TiDB作为您的数据库解决方案
【2月更文挑战第25天】随着数据规模的不断增长和业务需求的日益复杂化,现代企业对数据库系统的扩展性、高可用以及分布式处理能力提出了更高的要求。TiDB作为一个新型的开源分布式数据库,以其独特的设计理念与卓越的技术特性,在众多数据库解决方案中脱颖而出。本文将深入剖析TiDB的核心优势,探讨其如何帮助企业从容应对海量数据挑战、实现无缝水平扩展、保障服务高可用性,并提供灵活一致的事务支持。
|
5月前
|
人工智能 弹性计算 JSON
MCP进阶:一键批量搞定MCP工具部署
本文介绍了一种基于阿里云计算巢的一站式MCP工具解决方案,解决了传统MCP工具集成中的效率低下、调用方式割裂和动态管理困难等问题。方案通过标准化协议实现多MCP工具批量部署,提高云资源利用率,并支持OpenAPI与MCP双通道调用,使主流AI助手如Dify、Cherry Studio等无缝接入。内容涵盖背景、原理剖析、部署使用实战及问题排查,最后强调MCP协议作为“通用语言”连接数字与物理世界的重要性。
1254 62
MCP进阶:一键批量搞定MCP工具部署
|
12月前
|
前端开发
深入解析React Hooks:构建高效且可维护的前端应用
本文将带你走进React Hooks的世界,探索这一革新特性如何改变我们构建React组件的方式。通过分析Hooks的核心概念、使用方法和最佳实践,文章旨在帮助你充分利用Hooks来提高开发效率,编写更简洁、更可维护的前端代码。我们将通过实际代码示例,深入了解useState、useEffect等常用Hooks的内部工作原理,并探讨如何自定义Hooks以复用逻辑。
|
9月前
|
搜索推荐 数据挖掘 API
微店商品详情接口(微店API系列)
微店商品详情接口是微店API的重要组成部分,帮助开发者和商家获取商品的详细信息(如标题、价格、库存等),并将其集成到应用程序或数据分析系统中。该接口支持HTTP GET/POST请求,返回JSON/XML格式数据,需通过AppKey和AppSecret进行身份验证和签名加密。应用场景包括商品信息同步、数据分析与市场调研、个性化推荐系统等,助力商业决策和业务拓展。
217 13
|
物联网 Shell Swift
NPU推理&微调大模型实战
本文为魔搭社区轻量级训练推理工具SWIFT微调实战教程系列
|
设计模式 前端开发 C#
使用 Prism 框架实现导航.NET 6.0 + WPF
使用 Prism 框架实现导航.NET 6.0 + WPF
386 10
|
存储 数据库 计算机视觉
人脸识别流程
【7月更文挑战第30天】人脸识别流程。
552 3
|
监控 Java 测试技术
Java一分钟之-Vert.x:轻量级事件驱动框架
【6月更文挑战第11天】Vert.x是一个轻量级的Java事件驱动框架,用于构建高性能微服务和响应式应用。它采用多-reactor线程模型,支持异步非阻塞IO,提供事件驱动、多语言支持、轻量级特性和模块化组件生态。本文关注Java,讨论了Vert.x中的常见问题,如阻塞事件循环、异常处理和资源泄露,并提供了解决方案。理解异步编程模型,利用Vert.x生态和进行有效监控是避免陷阱的关键。通过实践,开发者能更好地掌握Vert.x并构建高效应用。
526 1
|
负载均衡 监控 持续交付
|
JSON 移动开发 算法
从JDK8飞升到JDK17,再到未来的JDK21
2022年,Spring6和 SpringBoot3都推出了,在此之前,Java社区很坚挺,一直是"新版任你发,我用Java 8",不管新版本怎么出,很少有人愿意升级。 这一次,Spring 直接来了个大招,SpringBoot3和Spring6的最低依赖就是JDK17!跨过 JDK 8-16,直接升级到 JDK 17。那么为什么是 JDK 17呢?
29881 24
从JDK8飞升到JDK17,再到未来的JDK21