45IT.COM- 电脑学习从此开始!
RSS订阅 设为首页 加入收藏
DIY硬件教程攒机经验装机配置
设计Photoshop网页设计特效
系统注册表DOS系统命令其它
存储主板显卡外设键鼠内存
维修显卡CPU内存打印机
WinXPVistaWin7unix/linux
CPU光驱电源/散热显示器其它
修技主板硬盘键鼠显示器光驱
办公ExcelWordPowerPointWPS
编程数据库CSS脚本PHP
网络局域网QQ服务器
软件网络系统图像安全

搜索

页面导航: 首页 > 电脑学院 > 网络安全 >

Trojan.DL.Agent.ncd(1.exe/小心有鬼.pif)病毒的手动解决

电脑软硬件应用网 45IT.COM 时间:2007-06-18 17:35 作者:ixigua

  病毒名称:Trojan.DL.Agent.ncd(rising报毒名称)      样本名字:小心有鬼.txt.exe,文件图标是记事本图标
  病毒大小:216,379 字节(原始样本)
  加壳方式:()
  MD5:55A7929CBA30824EFE8AFC6F35D4FB14
  SHA1:E403D50B0267F4770666408EC10E5CA56CB07A1F


  该病毒首先在用户桌面上生成 1.exe/小心有鬼.pif(病毒副本) 和 小心有鬼,胆小勿看.txt(文本文件,内容为:

恭喜你中毒了,呵呵!!!!!!)

  将自身释放到系统目录(替换系统文件)
    C:\WINDOWS\system32\severe.exe
    C:\WINDOWS\system32\tgejsy.exe
    C:\WINDOWS\system32\drivers\cwyumh.exe(替换系统文件)
    C:\WINDOWS\system32\drivers\conime.exe(替换系统文件)

  生成下面两个文件
  C:\WINDOWS\system32\tgejsy.dll
  C:\WINDOWS\system32\hx1.bat


  利用U盘传播:
  X:\OSO.exe
  X:\autorun.inf


  修改注册表键值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = 0(建议改为1)

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
  "cwyumh" = %SYSTEM%\TGEJSY.EXE
  "tgejsy" = %SYSTEM%\SEVERE.EXE

  SYSTEM.INI\BOOT
  "SHELL" = EXPLORER.EXE %SYSTEM%\DRIVERS\CONIME.EXE


  修改 C:\WINDOWS\system32\drivers\etc\hosts 文件,以阻止中毒用户访问安全论坛或升级安全软件,添加以下内

容(需手动删除)
127.0.0.1         mmsk.cn
127.0.0.1         ikaka.com
127.0.0.1         safe.qq.com
127.0.0.1         360safe.com
127.0.0.1       www.mmsk.cn
127.0.0.1       www.ikaka.com
127.0.0.1         tool.ikaka.com
127.0.0.1       www.360safe.com
127.0.0.1         zs.kingsoft.com
127.0.0.1         forum.ikaka.com
127.0.0.1         up.rising.com.cn
127.0.0.1         scan.kingsoft.com
127.0.0.1         kvup.jiangmin.com
127.0.0.1         reg.rising.com.cn
127.0.0.1         update.rising.com.cn
127.0.0.1         update7.jiangmin.com
127.0.0.1         download.rising.com.cn
127.0.0.1         dnl-us1.kaspersky-labs.com
127.0.0.1         dnl-us2.kaspersky-labs.com
127.0.0.1         dnl-us3.kaspersky-labs.com
127.0.0.1         dnl-us4.kaspersky-labs.com
127.0.0.1         dnl-us5.kaspersky-labs.com
127.0.0.1         dnl-us6.kaspersky-labs.com
127.0.0.1         dnl-us7.kaspersky-labs.com
127.0.0.1         dnl-us8.kaspersky-labs.com
127.0.0.1         dnl-us9.kaspersky-labs.com
127.0.0.1         dnl-us10.kaspersky-labs.com
127.0.0.1         dnl-eu1.kaspersky-labs.com
127.0.0.1         dnl-eu2.kaspersky-labs.com
127.0.0.1         dnl-eu3.kaspersky-labs.com
127.0.0.1         dnl-eu4.kaspersky-labs.com
127.0.0.1         dnl-eu5.kaspersky-labs.com
127.0.0.1         dnl-eu6.kaspersky-labs.com
127.0.0.1         dnl-eu7.kaspersky-labs.com
127.0.0.1         dnl-eu8.kaspersky-labs.com
127.0.0.1         dnl-eu9.kaspersky-labs.com
127.0.0.1         dnl-eu10.kaspersky-labs.com

  解决方法:

  1.到down.45it.com下载IceSword120_cn.zip删除以下文件:

    C:\WINDOWS\system32\severe.exe
    C:\WINDOWS\system32\tgejsy.exe
    C:\WINDOWS\system32\drivers\cwyumh.exe(此处替换系统文件)
    C:\WINDOWS\system32\drivers\conime.exe(此处替换系统文件)
  C:\WINDOWS\system32\tgejsy.dll
  C:\WINDOWS\system32\hx1.bat:
  X:\OSO.exe
  X:\autorun.inf

  2.开始菜单-运行-输入“Regedit”打开注册表编辑器依次打开以下选项

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = 0(建议改为1)

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
  "cwyumh" = %SYSTEM%\TGEJSY.EXE(此处删除)
  "tgejsy" = %SYSTEM%\SEVERE.EXE(此处删除)

  SYSTEM.INI\BOOT
  "SHELL" = EXPLORER.EXE %SYSTEM%\DRIVERS\CONIME.EXE(此处删除)

  3.打开C:\WINDOWS\system32\drivers\etc\hosts,删除分析中提到的劫持
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
无法在这个位置找到: baidushare.htm
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片
最新评论 进入详细评论页>>
你可能感兴趣的文章
推荐知识
热点知识

关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 |

Copyright © 2006-2012 45IT. All Rights Reserved 浙ICP备09049068号