欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

autorun.inf、servet.exe和ie777.exe木馬的手工殺毒方法 

 
近一段時(shí)間，網(wǎng)頁(yè)木馬群猖獗。
中招，一般是訪(fǎng)問(wèn)某些掛馬的網(wǎng)頁(yè)時(shí)，成堆的木馬下載到IE臨時(shí)文件夾中并悄悄運行。用戶(hù)發(fā)現系統異常時(shí)，系統內已經(jīng)木馬成堆了。這類(lèi)木馬群的內容各式各樣，但有一點(diǎn)相同之處：其中的病毒模塊（常見(jiàn)的是dll文件）狂插系統及應用程序進(jìn)程，導致殺毒困難。
未打微軟的ANI漏洞補丁是中這類(lèi)網(wǎng)頁(yè)木馬的主要原因。

今天見(jiàn)到有人反映類(lèi)似情形。按照他給的網(wǎng)址，在未打ANI漏洞補丁的系統上，用IE6.0訪(fǎng)問(wèn)了那個(gè)網(wǎng)頁(yè)。結果如愿以?xún)?，終于第一次親眼見(jiàn)識了一下ANI漏洞的“風(fēng)采”。

以下列出中招后用SRENG和IceSword滅掉這群木馬的實(shí)戰流程，供中招的朋友們實(shí)戰參考。

0、用SRENG 2.3 掃系統日志，保存日志，掌握中毒后的基本情況并為手工殺毒提供必要信息。

1、運行IceSword，禁止進(jìn)程創(chuàng )建。

2、結束下列被病毒插入的進(jìn)程以及所有非系統核心進(jìn)程：
[PID: 1876][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1464][C:\Program Files\Rising\Rav\RavTask.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 440][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1832][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 2572][C:\Program Files\Rising\Rav\RAVMON.EXE] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 3304][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 2772][C:\windows\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 2524][C:\WINDOWS\system32\notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1696][C:\program files\internet explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1800][C:\windows\wsttrs.exe] [N/A, N/A]
[C:\windows\system32\wsttrs.dll] [N/A, N/A]
[PID: 1000][c:\Syswm1i\svchost.exe] [N/A, N/A]
[c:\Syswm1i\Ghook.dll] [N/A, N/A
[PID: 3020][C:\Program Files\Tiny Firewall Pro\UmxTray.exe] [Computer Associates International, Inc., 6.5.1.59]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
[PID: 1348][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
注：由于IceSword是中毒后運行的，因此應查看其進(jìn)程中是否有病毒模塊插入。如果有，須卸除之。
3、刪除病毒文件（圖1）。
注：C:\Documents and Settings\baohelin\Local Settings\Temp\ie777.exe只有用IceSword才能找到并刪除（圖2）。ie777.exe似乎是這群木馬的“靈魂”，其進(jìn)程為“隱藏”，但用IceSword和SSM均可見(jiàn)此進(jìn)程。

4、根據SRENG日志所見(jiàn)，清理注冊表（刪除下列注冊表項）：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]分支下的：
svc
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]分支下的：
333
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]分支下的：
winform
mppds
upxdnf
msccrt

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的：
WindowsDown

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的：
NPF

注意：C:\windows\system32\servet.exe感染U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存貯介質(zhì)。如果系統中毒時(shí)USB口上有這類(lèi)設備，請右鍵打開(kāi)這些設備，刪除其根目錄下的autorun.inf和servet.exe。
 
 

該文章轉載自Pclala電腦大本營(yíng)：http://www.pclala.com/Info/7312.Html