如何防御与删除calc.exe病毒
程序员文章站
2022-06-28 11:51:18
本文将介绍calc.exe病毒的防御与删除方法,有需求的朋友可以参考... 12-11-12...
病毒信息:
遍历磁盘类型
附加信息:c:
行为描述:提升权限
附加信息:”sedebugprivilege”
行为描述:查找指定进程
附加信息:comine.exe
行为描述:在系统敏感位置(如开始菜单等)释放链接或快捷方式
附加信息:桌面 >> 方便导航.lnk >> %programfiles%\internet explorer\iexplore.exe args:http://dh499qi3322.org
行为描述:创建进程
附加信息:%programfiles%\windows media player\comine.exe
%windir%\winupdate.exe
%system%\cmd.exe
%system%\ping.exe
行为描述:添加开机自启动项
附加信息:[windows] – %programfiles%\windows media player\comine.exe
[windows] : %programfiles%\windows media player\comine.exe
行为描述:创建互斥体
附加信息:”c:?program files?windows media player?comine.exe”
“c:?windows?winupdate.exe”
“oledfroot0000d80e5′
“oledfroot0000d9795′
“shellcopyenginefinished”
“shellcopyenginerunning”
行为描述:隐藏指定窗口
附加信息:thunderrt6formdc : [winupdate.exe]
thunderrt6formdc : [comine.exe]
thunderrt6main : [winupdate.exe]
thunderrt6main : [comine.exe]
行为描述:查找文件
附加信息:”c:\documents and settings”
“c:\documents and settings\administrator”
“%userprofile%\winupdate.exe”
“%userprofile%\ping”
“%userprofile%\ping.*”
“%userprofile%\桌面\方便导航.lnk”
“%system%\ping.*”
“%system%\ping.com”
“%system%\ping.exe”
这是托马斯说的,具体我也不知道耶。但是我们让alien共享群里之后,下载下来,在虚拟机运行,的却挺流氓的额。
表示咱们开始防御。
刚开始,我打开文件之后,发现没什么反应的,但是我到本地磁盘c里 面 发现,这种病毒出现了。
我删除,拒绝访问,么办法,在群里看到alien的截图,在进程里面有这个程序的相关进程,好的,既然这样,我打开进程,结束了相关的进程。
ok,删除成功!
我以为,这就可以了 ,截图到群里,可结果alien 说,重启之后,又出现了,我试了试,还真的出现了耶。
这时,我就想到了,咱们防止u盘病毒的方法,在相应的目录建立相同名称的文件或者文件夹。。好的,咱们试试,建立文件开机重启。
郁闷的是,果真如alien所说的那样。本来o字节的文件,变成了34k的了,郁闷了 ,并且进程里还有这个病毒的运行记录,原来这个文件 ,被病毒替换了啊,就像我们复制东西时,发现相同名称的文件时,系统会提示你,是否覆盖原来文件一样,这里没有提示,直接给你覆盖了。
好吧!你厉害,既然如此,咱们在想办法吧,我就想,怎么会被替换呢?要不把他的属性换为只读属性呢?咱们试试!
重新启动,惊讶的发现,这次没有被替换了,并且文件的大小也变为了o字节,进程里面也没有了这个病毒的相关进程了,就重新启动了几次。
噢耶,终于没有了这个病毒的踪影了,这里提一下,刚在alien说无法修改文件的属性,那么咱们就先建立一个txt文件试试,把属性改为只读,然后把名称替换为calc.exe,这样属性也就变为了只读的属性了。
我在服务器的里面也测试了,也是可以改为只读的属性的哦!~其实表题所说的删除,咱们现在还没有发现,看来只能借助杀毒了耶,表示360貌似杀不了的
遍历磁盘类型
附加信息:c:
行为描述:提升权限
附加信息:”sedebugprivilege”
行为描述:查找指定进程
附加信息:comine.exe
行为描述:在系统敏感位置(如开始菜单等)释放链接或快捷方式
附加信息:桌面 >> 方便导航.lnk >> %programfiles%\internet explorer\iexplore.exe args:http://dh499qi3322.org
行为描述:创建进程
附加信息:%programfiles%\windows media player\comine.exe
%windir%\winupdate.exe
%system%\cmd.exe
%system%\ping.exe
行为描述:添加开机自启动项
附加信息:[windows] – %programfiles%\windows media player\comine.exe
[windows] : %programfiles%\windows media player\comine.exe
行为描述:创建互斥体
附加信息:”c:?program files?windows media player?comine.exe”
“c:?windows?winupdate.exe”
“oledfroot0000d80e5′
“oledfroot0000d9795′
“shellcopyenginefinished”
“shellcopyenginerunning”
行为描述:隐藏指定窗口
附加信息:thunderrt6formdc : [winupdate.exe]
thunderrt6formdc : [comine.exe]
thunderrt6main : [winupdate.exe]
thunderrt6main : [comine.exe]
行为描述:查找文件
附加信息:”c:\documents and settings”
“c:\documents and settings\administrator”
“%userprofile%\winupdate.exe”
“%userprofile%\ping”
“%userprofile%\ping.*”
“%userprofile%\桌面\方便导航.lnk”
“%system%\ping.*”
“%system%\ping.com”
“%system%\ping.exe”
这是托马斯说的,具体我也不知道耶。但是我们让alien共享群里之后,下载下来,在虚拟机运行,的却挺流氓的额。
表示咱们开始防御。
刚开始,我打开文件之后,发现没什么反应的,但是我到本地磁盘c里 面 发现,这种病毒出现了。
我删除,拒绝访问,么办法,在群里看到alien的截图,在进程里面有这个程序的相关进程,好的,既然这样,我打开进程,结束了相关的进程。
ok,删除成功!
我以为,这就可以了 ,截图到群里,可结果alien 说,重启之后,又出现了,我试了试,还真的出现了耶。
这时,我就想到了,咱们防止u盘病毒的方法,在相应的目录建立相同名称的文件或者文件夹。。好的,咱们试试,建立文件开机重启。
郁闷的是,果真如alien所说的那样。本来o字节的文件,变成了34k的了,郁闷了 ,并且进程里还有这个病毒的运行记录,原来这个文件 ,被病毒替换了啊,就像我们复制东西时,发现相同名称的文件时,系统会提示你,是否覆盖原来文件一样,这里没有提示,直接给你覆盖了。
好吧!你厉害,既然如此,咱们在想办法吧,我就想,怎么会被替换呢?要不把他的属性换为只读属性呢?咱们试试!
重新启动,惊讶的发现,这次没有被替换了,并且文件的大小也变为了o字节,进程里面也没有了这个病毒的相关进程了,就重新启动了几次。
噢耶,终于没有了这个病毒的踪影了,这里提一下,刚在alien说无法修改文件的属性,那么咱们就先建立一个txt文件试试,把属性改为只读,然后把名称替换为calc.exe,这样属性也就变为了只读的属性了。
我在服务器的里面也测试了,也是可以改为只读的属性的哦!~其实表题所说的删除,咱们现在还没有发现,看来只能借助杀毒了耶,表示360貌似杀不了的