扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:Purpleendurer 来源:blog【原创】 2008年1月11日
关键字: AV杀手 映像劫持 pe_xscan Purpleendurer 软件
运行注册表编辑器regedit.exe,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,删除其下的劫持项。
然后运行 IceSword,结果病毒模拟用户按键使IceSword窗口一闪而过,也被关闭了……
重启电脑,无法进入安全模式……
还是进入一般模式,用我的电脑打开mgemtjk.exe所在的文件夹C:\Program Files\Common Files\Microsoft Shared,窗口也会被关闭。不过在bat_do中通过dir命令,我们还是可以查看这个文件夹的内容:
D:\tools>dir C:\Program Files\Common Files\Microsoft Shared /a
驱动器 C 中的卷没有标签。
卷的序列号是 6459-0C30
C:\Program Files\Common Files\Microsoft Shared 的
2007-12-27 09:18 27,566 mtkt
2007-12-27 09:18 27,566 qknv
2007-12-27 09:18 27,566 edpn
2007-12-27 09:18 27,566 mkih
2007-12-27 09:18 27,566 khex
2007-12-27 09:18 27,566 pmfp
2007-12-27 09:18 27,566 wvnm
2007-12-27 09:18 27,566 renm
2007-12-27 09:18 27,566 qmfw
2007-12-27 09:18 27,566 pswu
2007-12-27 09:18 27,566 hfsn
2007-12-27 09:18 27,566 bjwb
2007-12-27 09:18 27,566 skvb
2007-12-27 09:18 27,566 lxtd
2007-12-27 09:18 27,566 blvw
2007-12-27 09:18 27,566 rrxu
2007-12-27 09:18 27,566 tkbp
2007-12-27 09:18 27,566 tcjp
2007-12-27 09:18 27,566 lbhb
2007-12-27 09:18 27,566 msfs
2007-12-27 09:18 27,566 kirh
2007-12-27 09:18 27,566 ypwk
2007-12-27 09:18 27,566 kwds
2007-12-27 09:18 27,566 qqvr
2007-12-27 09:18 27,566 xsgv
2007-12-27 09:18 27,566 phhd
2007-12-27 09:18 27,566 digg
2007-12-27 09:18 27,566 pvbe
2007-12-27 09:18 27,566 wiqt
2007-12-27 09:18 27,566 uxmr
2007-12-27 09:18 27,566 aqfv
2008-01-03 21:26 169 jhqocsd.inf
2007-12-27 09:18 27,566 qmtj
2007-12-27 09:18 27,566 ijef
2007-12-27 09:18 27,566 fgvk
2007-12-27 09:18 27,566 nxmx
2007-12-27 09:18 27,566 aaqr
2007-12-27 09:18 27,566 vqkh
2007-12-27 09:18 27,566 ssmu
2007-12-27 09:18 27,566 nupl
2007-12-27 09:18 27,566 eltd
2007-12-27 09:18 27,566 vhes
2007-12-27 09:18 27,566 bhst
2007-12-27 09:18 27,566 nqpk
2007-12-27 09:18 27,566 owop
2007-12-27 09:18 27,566 jidn
2007-12-27 09:18 27,566 tkea
2007-12-27 09:18 27,566 mgemtjk.exe
文件还真不少,使用 FileInfo提取文件信息,发现大多数文件内容是相同的。
D:\tools>type C:\Program Files\Common Files\Microsoft Shared\jhqocsd.inf
[AutoRun]
open=smsovct.exe
shell\open=打开(&O)
shell\open\Command=smsovct.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=smsovct.exe
在这里我们还可以尝试用win xp 的 tasklist命令查找病毒进程的PID,然后用 taskkill 命令终止病毒进程。不过我没有这样做~
运行 msconfig.exe 取消 O4 组中的启动项。
把log中的红色显示的文件加入bat_do的待处理文件列表,全选,延时删除。然后选择其中一部分打包备份。再全选,改所选文件名,延时删除。
重启电脑……
再次检查有关的文件是否还存在,若还有残余则把它们拖入bat_do延时删除,重启……
卸载百度搜霸。
在msconfig.exe中恢复先前取消的O4组的启动项。
下载安装瑞星卡卡安全助手并运行,在高级功能—>[插件管理及卸载] 里把O2 和O24 项卸载掉
在[高级功能]—>[系统启用项管理]里,在左边点击[登录项],在右边找到 O4 项对应的项目,右击,从弹出的菜单里选择删除。
接着在[高级功能]—>[系统启用项管理]里,在左边点击[服务项]和[驱动],在右边找到 O23 项对应的项目,右击,从弹出的菜单里选择删除;在左边点击[应用程序劫持项],在右边找到 O26 项对应的项目,右击,从弹出的菜单里选择删除。
在[高级功能]—>[IE及系统修复]里修复红色显示的部分,即 O6 项。
原文链接:http://blog.csdn.net/purpleendurer/archive/2008/01/08/2031025.aspx
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者