代码驿站移动版
频道导航
HTML/Xhtml
CSS
JavaScript
HTML5
PHP教程
ASP.NET
正则表达式
AJAX
ThinkPHP
Yii
MySQL
MariaDB
Oracle
MongoDB
Redis
DedeCMS
PHPCMS
帝国CMS
WordPress
Discuz
其它CMS
Zend Studio
Sublime
Notepad
Dreamweaver
Windows
Linux
Nginx
Apache
IIS
CentOS
Ubuntu
Debian
网站优化
工具资源
PHP源码
ASP.NET源码
其它源码
图标素材
按钮素材
字体素材
DedeCMS模板
帝国CMS模板
PHPCMS模板
WordPress模板
Discuz!模板
单页模板
开发软件下载
服务器软件下载
广告投放
联系我们
版权申明
软件编程
网页前端
移动开发
数据库
服务器
脚本语言
PHP代码
JAVA代码
Python代码
Android代码
当前位置:
主页
> >
对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具
时间:2021-02-14 11:31:47 | 栏目: | 点击:次
病毒症状:
杀毒软件被禁用、隐藏文件无法显示、开始命令msconfig无法运行、很多辅助软件也无法运行,运行EXE以及SCR 文件后被病毒的感染
手动查杀用到的软件:
SRENG软件以及XDELBOX软件
Quote:
病毒名称:Trojan-Downloader.Win32.Agent.****
病毒类型:木马
病毒MD5:2ccd81d7d358778b11de9303e0097d2d
加壳类型:UPX
编写语言:Borland Delphi 6.0 - 7.0
病毒运行
生成进程:
Code:
C:\WINDOWS\system32\Death.exe
C:\WINDOWS\system32\Supervise.exe
释放文件
Code:
C:\WINDOWS\system32\Supervise.exe(这个Supervise.exe调用net.exe执行局域网络的感染,并且创建文件:%system32%\Death.SiShen,将病毒信息写进此文件)
(此进程还会Supervise.exe开启端口 连接网络下载木马!!!真是可恶)
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\Death.exe(这个进程生成Supervise.exe文件)
C:\WINDOWS\system32\Death.SiShen
以及每个盘根目录下有ANTO隐藏文件
双击硬盘也会导致病毒运行 请大家点右键--打开
修改注册表
Code:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe"
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000
搜索尝试关闭杀毒软件以及辅助软件的窗口
尝试关闭杀毒软件以及辅助软件等进程
搜索感染除系统盘以外的 .exe/.scr 文件.
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.运行被感染的exe文件后,将释放病毒!
可以通过区域网传播(death.exe)
手动删除方法:
1:关闭系统还原 清空IE临时文件夹
2:进安全模式
终止进程Death.exe进程
3:用XDELBOX软件 钩上抑制再生后 删除以下文件:
Code:
C:\WINDOWS\system32\Death.exe
C:\WINDOWS\system32\Supervise.exe
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\Death.SiShen
4:打开SRENG软件 在启动中删除以下启动:
Code:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe" .
------SRENG软件 在系统修复--全选--修复
-----或者打开注册表 开始运行--REGEDIT-修改项直
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
------有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了(步骤:删除此CheckedValue键值,单击右键 新建――Dword值――命名为“CheckedValue”,修改键值为1)
--重起
------手动删除每个盘下面的AUTO隐藏文件
------重起(不要点被感染的EXE、SCR文件!!)
------安全模式下 杀毒软件扫描删除病毒残留感染文件以及配合360修复系统
--重起 OK
您可能感兴趣的文章:
Powershell小技巧之通过EventLog查看近期电脑开机和关机时间
IDEA配置GIT的详细教程
提高页面加载速度的几个方法小结
易语言设置组合框项目数值的方法
VMware Workstation虚拟机安装操作方法
相关文章
05-15
易语言打开文件件网页的方法
05-15
X86汇编调试环境搭建的过程
05-15
使用navicat导入sql文件的方法步骤
05-15
Discuz!论坛install.php书写错误漏洞
05-15
路由器安全有关的目录
JQuery
VUE
AngularJS
MSSql
MySQL
MongoDB
Redis
Linux
Tomcat
Nginx
网站首页
广告投放
联系我们
版权申明
联系站长