设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools飘云阁工具包(已更新第4季)
返回列表 发新帖
查看: 2946|回复: 4

[求助] 这个病毒要把我搞疯了

[复制链接]
coolbird

该用户从未签到
发表于 2007-4-14 17:22:56 | 显示全部楼层 |阅读模式
本小菜的一个朋友的电脑最近中了一个病毒,名叫'美女游戏',中了后,具体表现为有个DOS图标,名为美女游戏,删除不掉,,用粉碎也不行..所有应用程序打不开,包括杀毒软件,但是软件刚安装上时可用,,但一重启即不可用,而且电脑会越来越慢,直至最后连开个机都要半小时以上,,,
       小菜对于这个病毒采取了一些措施,:起先,我只是用正版金山和瑞星杀了,,都杀不出来,最后用卡巴杀,只能查出来而杀不掉,后来,我索性重装系统,(经实践,系统盘无中毒),但重装后,病毒依然存在,因此我当时想,可能是其他盘也感染了吧,于是,在朋友同意下,又把所有的盘都格了,再重装下,,,启动后,,看下进程,病毒依然在,,而且不久后也表现出同样的中毒情况,.
       小菜这就郁闷了,所有的盘都格了,,病毒还能存在于哪,杀望各位师父师兄们帮忙解释下这个现象...
PYG19周年生日快乐!
回复

使用道具 举报

coolbird

该用户从未签到
 楼主| 发表于 2007-4-15 23:45:35 | 显示全部楼层
呵呵,,,谢谢了,,,我马上去试下,,,
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

zbwangshujun

该用户从未签到
发表于 2007-4-16 00:47:28 | 显示全部楼层
HEHE    如此厉害阿
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

VC8
  • TA的每日心情
    开心
    2019-3-15 21:05

    • 签到天数: 5 天

    [LV.2]偶尔看看I
    发表于 2007-4-17 11:58:06 | 显示全部楼层
    如果我没有记错,请参照以下方法进行解救:

    以下为病毒动作特征:
    1,创建文件

    2,创建进程

    3,使用net stop命令,结束可能存在的杀毒软件服务
    4,调用sc.exe,windows系统自带的rootkit工具
          config [对应服务] start=disabled
          禁用服务,sharedaccess(此即系统自带防火墙)

    5,禁止或结束杀毒软件,防火墙进程运行,例如

      用FindWindowA函数,捕捉标题为"瑞星提示"的窗口
      用FindWindowExA函数,找到其中“是(&Y)”的按钮
      用SendMessageA函数向系统发送信息,相当于按下此按钮

    6,
      创建noruns.reg,并导入注册表,之后删除此文件。导入内容:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:b5
    改变驱动器的autorun方式


      修改注册表,创建启动项:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
    <gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

    为预防杀毒软件的注册表监控提示,故伎重施,例如:
      用FindWindowA函数捕捉标题为“瑞星注册表监控提示”的窗口
      用mouse_event控制鼠标自动选择允许修改。



      访问注册表
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
    CheckedValue键
    破坏显示隐藏文件的功能(这一点在我的虚拟机中没有实现,可能是被TINY或SSM默认阻止了)


    7,杀手锏-映射其它应用程序到病毒程序

      在注册表
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
      创建以安全软件程序名为名的子项

      子项中创建子键
    "Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
    使得这些程序在被双击运行时,均会转为运行病毒文件mpnxyl.exe



    形如:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe ]
    "Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
    这样运行PFW.exe的时候就是运行病毒程序mpnxyl.exe



    8,修改hosts文件,屏蔽杀毒软件厂商的网站

    9,改日期

      hx1.bat内容:

      @echo off
      set date=2004-1-22
      ping ** localhost > nul
      date %date%
      del %0



    10,改autorun.inf和右键打开功能

      autorun.inf的内容:
      [AutoRun]
      open=OSO.exe
      shellexecute=OSO.exe
      shell\Auto\command=OSO.exe

    这样右键打开磁盘的时候还是打开病毒程序

    [ 本帖最后由 gdyyhk 于 2007-4-17 12:01 编辑 ]
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    newton

    该用户从未签到
    发表于 2007-4-21 13:03:55 | 显示全部楼层
    应该是交叉感染了吧 理论上没有盘全格还删不掉的毒吧~
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表