科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等2

使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等2

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

和之前遇到的其它AV杀手相似,mgemtjk.exe 将常见的安全工具,如HijackThis, IceSword,卡卡安全助手,全部作了映像劫持(pe_xscan 的 log 中的O26 - IFEO)。

作者:Purpleendurer 来源:blog【原创】 2008年1月11日

关键字: AV杀手 映像劫持 pe_xscan Purpleendurer 软件

  • 评论
  • 分享微博
  • 分享邮件
和之前遇到的其它AV杀手相似,mgemtjk.exe 将常见的安全工具,如HijackThis, IceSword,卡卡安全助手,全部作了映像劫持(pe_xscan 的 log 中的O26 - IFEO)。
任务管理器和WinRAR窗口会被强制关闭。

运行注册表编辑器regedit.exe,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,删除其下的劫持项。

然后运行 IceSword,结果病毒模拟用户按键使IceSword窗口一闪而过,也被关闭了……

重启电脑,无法进入安全模式……

还是进入一般模式,用我的电脑打开mgemtjk.exe所在的文件夹C:\Program Files\Common Files\Microsoft Shared,窗口也会被关闭。不过在bat_do中通过dir命令,我们还是可以查看这个文件夹的内容:

D:\tools>dir C:\Program Files\Common Files\Microsoft Shared /a
 驱动器 C 中的卷没有标签。
 卷的序列号是 6459-0C30

 C:\Program Files\Common Files\Microsoft Shared 的

2007-12-27  09:18            27,566 mtkt
2007-12-27  09:18            27,566 qknv
2007-12-27  09:18            27,566 edpn
2007-12-27  09:18            27,566 mkih
2007-12-27  09:18            27,566 khex
2007-12-27  09:18            27,566 pmfp
2007-12-27  09:18            27,566 wvnm
2007-12-27  09:18            27,566 renm
2007-12-27  09:18            27,566 qmfw
2007-12-27  09:18            27,566 pswu
2007-12-27  09:18            27,566 hfsn
2007-12-27  09:18            27,566 bjwb
2007-12-27  09:18            27,566 skvb
2007-12-27  09:18            27,566 lxtd
2007-12-27  09:18            27,566 blvw
2007-12-27  09:18            27,566 rrxu
2007-12-27  09:18            27,566 tkbp
2007-12-27  09:18            27,566 tcjp
2007-12-27  09:18            27,566 lbhb
2007-12-27  09:18            27,566 msfs
2007-12-27  09:18            27,566 kirh
2007-12-27  09:18            27,566 ypwk
2007-12-27  09:18            27,566 kwds
2007-12-27  09:18            27,566 qqvr
2007-12-27  09:18            27,566 xsgv
2007-12-27  09:18            27,566 phhd
2007-12-27  09:18            27,566 digg
2007-12-27  09:18            27,566 pvbe
2007-12-27  09:18            27,566 wiqt
2007-12-27  09:18            27,566 uxmr
2007-12-27  09:18            27,566 aqfv
2008-01-03  21:26               169 jhqocsd.inf
2007-12-27  09:18            27,566 qmtj
2007-12-27  09:18            27,566 ijef
2007-12-27  09:18            27,566 fgvk
2007-12-27  09:18            27,566 nxmx
2007-12-27  09:18            27,566 aaqr
2007-12-27  09:18            27,566 vqkh
2007-12-27  09:18            27,566 ssmu
2007-12-27  09:18            27,566 nupl
2007-12-27  09:18            27,566 eltd
2007-12-27  09:18            27,566 vhes
2007-12-27  09:18            27,566 bhst
2007-12-27  09:18            27,566 nqpk
2007-12-27  09:18            27,566 owop
2007-12-27  09:18            27,566 jidn
2007-12-27  09:18            27,566 tkea
2007-12-27  09:18            27,566 mgemtjk.exe

文件还真不少,使用 FileInfo提取文件信息,发现大多数文件内容是相同的。

D:\tools>type C:\Program Files\Common Files\Microsoft Shared\jhqocsd.inf
[AutoRun]
open=smsovct.exe
shell\open=打开(&O)
shell\open\Command=smsovct.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=smsovct.exe

在这里我们还可以尝试用win xp 的 tasklist命令查找病毒进程的PID,然后用 taskkill 命令终止病毒进程。不过我没有这样做~

运行 msconfig.exe 取消 O4 组中的启动项。

把log中的红色显示的文件加入bat_do的待处理文件列表,全选,延时删除。然后选择其中一部分打包备份。再全选,改所选文件名,延时删除。

重启电脑……

再次检查有关的文件是否还存在,若还有残余则把它们拖入bat_do延时删除,重启……

卸载百度搜霸。

在msconfig.exe中恢复先前取消的O4组的启动项。

下载安装瑞星卡卡安全助手并运行,在高级功能—>[插件管理及卸载] 里把O2 和O24 项卸载掉

在[高级功能]—>[系统启用项管理]里,在左边点击[登录项],在右边找到 O4 项对应的项目,右击,从弹出的菜单里选择删除。
接着在[高级功能]—>[系统启用项管理]里,在左边点击[服务项]和[驱动],在右边找到 O23 项对应的项目,右击,从弹出的菜单里选择删除;在左边点击[应用程序劫持项],在右边找到 O26 项对应的项目,右击,从弹出的菜单里选择删除。
在[高级功能]—>[IE及系统修复]里修复红色显示的部分,即 O6 项。

原文链接:http://blog.csdn.net/purpleendurer/archive/2008/01/08/2031025.aspx

    • 评论
    • 分享微博
    • 分享邮件
          邮件订阅

          如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

          重磅专题
          往期文章
          最新文章