Red de conocimiento informático - Espacio del host - Fui envenenado y todo el software antivirus falló. . Abrir pantalla **. TMP

Fui envenenado y todo el software antivirus falló. . Abrir pantalla **. TMP

El virus causa pantalla azul en modo seguro (no se puede instalar software antivirus) Miércoles, 01 de agosto de 2007 13:04 Características principales

1. Destruye el modo seguro

2. Los archivos ocultos no se pueden mostrar

3. Finalice los procesos del software antivirus común y las herramientas antivirus comunes

4. >5. Secuestro de imágenes IFEO

6. Se puede propagar a través del almacenamiento móvil

Analicemos este virus en detalle

Archivo: 8668122F.exe

Tamaño: 35912 bytes

p>

MD5: 394A70F8591EAF1C3D1B0F85C45D3767

SHA1: 9A04503D5850F130CA619923E816C0FF4DBE9910

CRC32: 42

Método de embalaje UPX

p>

El nombre del archivo del virus debe ser Es una combinación aleatoria de 8 números y letras

Aumenta aún más la dificultad de matar

Después el virus se ejecuta

En C:\Program Files\ Common Files\Microsoft Shared\MSInfo\Lo siguiente libera una dll con un nombre de archivo que también es una combinación de 8 números y letras y un archivo dat con el mismo nombre

Mi ubicación aquí es C:\Program Files\Common Files \Microsoft Shared\MSInfo\41115BDD.dll

Este dll se inserta en el proceso Explorer

Finalizar (incluidos, entre otros) los siguientes procesos

360rpt.exe

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

K

Repair.COM

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

NAVSetup.exe

nod32krn.exe

nod32kui.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

shcfg32.exe

SmartUp.exe

SREng.exe

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE.exe

WoptiClean.exe

zxsweep.exe

Software antivirus común y algo de seguridad tools Los mató a todos

Luego usó IFEO para secuestrar las imágenes de estos ex y las apuntó a c:\program files\common files\microsoft share\msinfo\41115bdd.dat

El código de monitoreo es el siguiente Si encuentra una ventana con las siguientes palabras, ciérrela inmediatamente

Caballo de Troya

Caballo de Troya

Virus

Antivirus

Antivirus

Comprobación de virus

Antivirus

Antivirus

Muerte especializada

Muerte especializada

Kaspersky

Jiang Min

Rising

Kaká Comunidad

Kingsoft Antivirus

Kingsoft Community

Seguridad 360

Malware

Software malicioso

Reporte

Alarma

Anti-software

Anti-software

Anti-hacking

Lo anterior Las tareas de monitoreo y cierre de ventanas son realizadas por C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll insertado en el proceso Explorer

Es más despiadado que Panda que no puedes encontrar it Process

Luego agregue el elemento de registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

{15BD4111-4111-5BDD-115B-111BD1115BDD}gt ;lt; C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dllgt; [N/A]

Lograr el propósito de arranque

Y ese dll monitoreará este elemento de registro. se elimina, se restaurará inmediatamente

Clave de eliminación

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325 -11CE-BFC1-08002BE10318}

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

Romper el modo seguro

Modificar HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue a 0x00000000

Para que los archivos ocultos no se puedan mostrar

Liberar 8668122F.exe y autorun.inf a otras particiones excepto la partición del sistema

Luego descargue un archivo autoextraíble dl1.exe a la carpeta temporal a través de la red de conexión del proceso Explorer

Auto- extrayendo el archivo Versión C:\WINDOWS\system\20290.exe

C:\WINDOWS\system\ad1309.exe

C:\W

INDOWS\system\DiskFree_hy1.5.exe

C:\WINDOWS\system\dodolook027.exe y otros archivos

Contienen controladores troyanos y software malicioso

Después de ejecutar todos los archivos

Se agregaron los siguientes archivos

C:\WINDOWS\system32\drivers\acpidisk.sys

C:\ WINDOWS\system32\drivers\tolnfo47.sys

C:\WINDOWS\system32\drivers\vilpew30.sys

C:\WINDOWS\system32\drivers\ykagjt85.sys

C:\WINDOWS\system32\1b.dll

C:\WINDOWS\system32\48a69

C:\WINDOWS\system32\60e4.exe

C:\WINDOWS\system32\7df9.dll

C:\WINDOWS\system32\91b6.dll

C:\WINDOWS\system32\b60.dll

C:\WINDOWS\system32\bpjlgv91.dll

C:\WINDOWS\system32\df91.dll

C:\WINDOWS\system32\f91b.exe

C:\WINDOWS\system32\ieagent.exe

C:\WINDOWS\system32\mprmsgse.axz

C:\WINDOWS\system32\mscpx32r.det

C:\WINDOWS\system32\MSRundll.exe

C:\WINDOWS\system32\ntprint.dIl

C:\WINDOWS\system32\tolnfo47.dll

C:\WINDOWS\system32\tolnfo47.ini

C:\WINDOWS\system32\vilpew30.dll

C:\WINDOWS\system32\wingjt85. bin

C:\WINDOWS\system32\wingjt85.dll

C:\WINDOWS\system32\winkx.dll

C:\WINDOWS\system32\winlgv91 .bin

C:\WINDOWS\system32\winpew30.bin

C:\WINDOWS\system32\winpew30.dll

C:\WINDOWS\system32\ ykagjt85.dll

C:\WINDOWS\system32\cewrndm.dll

C:\WINDOWS\system32\tolnfo47.dll

C:\WINDOWS\system32 \vilpew30.dll

C:\WINDOWS\system32\b60.dll

<

p>C:\WINDOWS\03.bmp

C:\WINDOWS\3fa.exe

C:\WINDOWS\41115BDD.hlp

C:\ WINDOWS\fa7c.txt

C:\Archivos de programa\Internet Explorer\PLUGINS\system2.jmp

C:\Archivos de programa\Internet Explorer\PLUGINS\SystemKb.sys

También instalé dos software, uno es software adpush y el otro no tiene disco.

Hablemos de la solución:

Dado que el dll insertado en Explorer es el culpable, primero debemos deshacernos de ese dll

Ha eliminado gadgets comunes y encontró uno que no está bloqueado

Xdelbox1.2 puede eliminar archivos que no se pueden eliminar en Windows

Primero use Xdelbox para eliminar C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll

Reiniciar

Descargar ejecuciones automáticas Dado que IFEO también secuestró las ejecuciones automáticas, lo haremos Cambie el nombre

Después de abrirlo, busque secuestros de imágenes excepto el nombre de su archivo de imagen aquí sin una ruta. Depurador simbólico para Windows 2000 Microsoft Corporation

c:\windows\system32\ntsd.exe Eliminar todo excepto

Después de la eliminación, sreng puede ejecutarse

Ábrelo

Reparación del sistema Reparación avanzada Reparar modo seguro

Con éxito Luego reinicia F8 para ingrese al modo seguro

Abra sreng

Inicie el registro del proyecto y elimine los siguientes elementos

lt {754FB7D8-B8FE-4810-B363-A788CD060F1F}gt; lt;C:\Archivos de programa\Internet Explorer\PLUGINS\SystemKb.sysgt []

lt;{15BD4111-4111-5BDD-115B-111BD1115BDD}gt;lt;C:\Archivos de programa\ Común Archivos\Microsoft Shared\MSINFO\41115BDD.dllgt; [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ctl3d32]

lt; WinlogonNotify: ctl3d32gt; lt; cewrndm.dllgt []

Haga clic en "Ocultar proyectos certificados de Microsoft" en "Proyecto de inicio" - "Servicios" - "Aplicación de servicio Win32",

Seleccione los siguientes elementos, haga clic en "Eliminar servicio", luego haga clic en "Configuración" y haga clic en "No" en el cuadro emergente:

[Servicio IEAgent / IEAgent][Detenido/Inicio automático]

p>

l

t;"C:\WINDOWS\system32\ieagent.exe"gt;lt;gt;

[Cliente de fax/ms_fax][Ejecución/Inicio automático]

lt;C: \WINDOWS\system32\60e4.exegt;lt;N/Agt;

Desinstale el software adpush y libere el disco en Agregar y quitar programas

Salga de Xdelbox nuevamente

Elimine con fuerza los siguientes archivos

C:\WINDOWS\system32\drivers\acpidisk.sys

C:\WINDOWS\System32\DRIVERS\bpjlgv91.sys

C :\WINDOWS\System32\DRIVERS\tolnfo47.sys

C:\WINDOWS\System32\DRIVERS\vilpew30.sys

C:\WINDOWS\System32\DRIVERS\ykagjt85. sys

C:\WINDOWS\system32\cewrndm.dll

C:\WINDOWS\system32\tolnfo47.dll

C:\WINDOWS\system32\vilpew30 .dll

C:\WINDOWS\system32\ykagjt85.dll

C:\WINDOWS\system32\b60.dll

C:\WINDOWS\system32\ ieagent.exe

C:\WINDOWS\system32\1b.dll

Reiniciar

Abrir sreng en modo seguro

En "Inicio" Proyecto" -"Servicios"-"Controladores", haga clic en "Ocultar proyectos certificados de Microsoft",

Seleccione los siguientes elementos, haga clic en "Eliminar servicio", luego haga clic en "Configuración", haga clic en " No":

[acpidisk/acpidisk][Ejecución/Inicio automático]

lt;\?\C:\WINDOWS\system32\drivers\acpidisk.sysgt;lt;N/ Agt

[bpjlgv9 / bpjlgv91][Detenido/Arranque]

lt;\SystemRoot\System32\DRIVERS\bpjlgv91.sysgt;lt;N/Agt;

[tolnfo4] / tolnfo47][Ejecutando/Arranque]

lt;\SystemRoot\System32\DRIVERS\tolnfo47.sysgt;lt;N/Agt

[vilpew3 / vilpew30][Ejecutando/ Inicio de arranque]

lt;\SystemRoot\System32\DRIVERS\vilpew30.sysgt;lt;Microsoft Corporationgt;

[ykagjt8 / ykagjt85][Ejecución/Inicio de arranque ]

lt;\SystemRoot\System32\DRIVERS\

ykagjt85.sysgt; lt; Microsoft Corporation } lt; C:\Archivos de programa\Archivos comunes\CPUSH\cpush0.dll, gt

[Clase Abho]

{1238F6B9-C123 -4049-B07E-7A71AF320032} lt ;C:\WINDOWS\system32\b60.dll, TODO: lt;Nombre de la empresagt;gt;

[Caché de información]

{385AB8C6- FB22-4D17-8834-064E2BA0A6F0 } lt; C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll, Jintaifeng (Guangzhou) Technology Co., Ltd.

Eliminar arriba

Copie el siguiente código en el Bloc de notas y guárdelo como un archivo 1.reg

Editor del Registro de Windows versión 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Texto "="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName "= "Oculto"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105 "

Haga doble clic en 1.reg para importar esta clave de registro

Haga doble clic en Mi PC - Herramientas - Opciones de carpeta - Ver - Mostrar todos los archivos y carpetas y cambie "Ocultar protegido Desmarcar " Archivos de sistema".

Haga clic derecho y haga clic en Abrir en el menú para abrir otras particiones excepto la partición del sistema y eliminar autorun.inf y 8668122F.exe (los nombres de los archivos son aleatorios)

Elimine lo siguiente archivos

C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys

C:\WINDOWS\system32\1b.dll

C:\WINDOWS \system32\48a69

C:\WINDOWS\system32\60e4.exe

C:\WINDOWS\system32\7df9.dll

C:\WINDOWS\ system32\91b6.dll

C:\WINDOWS\system32\b60.dll

C:\WINDOWS\system32\bpjlgv91.dll

C:\WINDOWS \system32\df91.dll

C:\WINDOWS\system32\f91b.exe

C:\WINDOWS\system32\ieagent.exe

C:\ WINDOWS\system32\mprmsgse.axz

C:\WINDOWS\system32\mscpx32r.det

C:\WINDOWS\system32\MSRundll.exe

C: \WINDOWS\system32\ntprint .dIl

C:\WINDOWS\system32\tolnfo47.dll

C:\WINDOWS\system32\tolnfo47.ini

C :\WINDOWS\system32\ vilpew30.dll

C:\WINDOWS\system32\wingjt85.bin

C:\WINDOWS\system32\wingjt85.dll

C:\WINDOWS\system32 \winkx.dll

C:\WINDOWS\system32\winlgv91.bin

C:\WINDOWS\system32\winpew30.bin

C:\WINDOWS\ system32\winpew30.dll

C:\WINDOWS\03.bmp

C:\WINDOWS\3fa.exe

C: \WINDOWS\41115BDD.hlp

C:\WINDOWS\fa7c.txt

上篇: ¿Cómo reinstalar el sistema en la computadora portátil HP HSTNN-169C-3? Sea más detallado. 下篇: ¿Qué emulador es bueno para teléfonos móviles?

Artículos populares