水牛(shuiniu.exe)手工查杀方法不用专杀工具_病毒查杀教程-查字典教程网
水牛(shuiniu.exe)手工查杀方法不用专杀工具
水牛(shuiniu.exe)手工查杀方法不用专杀工具
发布时间:2016-12-26 来源:查字典编辑
摘要:这是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其...

这是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其发现和删除更加困难,因其主文件名“ShuiNiu.exe”,因此称病毒为“水牛”病毒。

Quote:

File:ShuiNiu.exe

Size:22069bytes

Modified:2007年11月5日,10:13:38

MD5:1FA97A5E1766D6E668321838A6F3E536

SHA1:94388083FB1CDD3003FE13046BC817AB0F6D7FD0

CRC32:1D66BFAB

技术细节:

1.病毒运行后,释放如下副本:

%systemroot%system32ShuiNiu.exe

并向可移动存储中写入ShuiNiu.exe和autorun.inf达到通过U盘等移动存储传播的目的

2.调用Cmd,把系统时间改为2005-10-31

3.删除如下键

SYSTEMCurrentControlSetControlSafeBootMinimalSYSTEMControlSet001ControlSafeBootNetworkSYSTEMControlSet001ControlSafeBootMinimal

破坏安全模式

4.添加映像劫持项目劫持一些安全软件到

%systemroot%system32ShuiNiu.exe

Code:

360rpt.exe

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exeKPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.COM

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

NAVSetup.exe

nod32krn.exe

nod32kui.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

shcfg32.exe

SmartUp.exe

SREng.exe

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.exe

WoptiClean.exe

5.在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

下面添加

<DsNiu><%systemroot%system32ShuiNiu.exe>[]

的启动项目达到开机启动的目的

6.启动IE下载

http://www.huigui.org/UpFile/UpFace/bak.exe

但连接已失效

7.病毒运行后释放~DsNiu!.bat删除自身

8.之后的动作也是病毒比较毒辣的一点,当完成上述这些动作后,病毒会启动两个svchost.exe,并将自身的病毒代码写入这两个svchost.exe进程之中,之后ShuiNiu.exe退出进程。

这两个svchost.exe会互相监视对方,且此时的ShuiNiu.exe也无法删除...

9.病毒体内有文字“FUCKYOU”

手动解决办法:

下载sreng和Xdelbox

1.解压Xdelbox压缩包内所有文件到一个文件夹,在添加旁边的框中分别输入c:windowssystem32ShuiNiu.exe

输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中,然后一次性选中(按住ctrl)下面大框中所有的文件,右键单击点击重启立即删除

2.重启后,打开sreng

启动项目注册表删除如下项目

<DsNiu><%systemroot%system32ShuiNiu.exe>[]

并删除所有红色的IFEO劫持项目

还是sreng中,系统修复-高级修复-修复安全模式

3.最后把系统时间改正确

相关阅读
推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
  • 大家都在看
  • 小编推荐
  • 猜你喜欢
  • 最新病毒查杀学习
    热门病毒查杀学习
    实用技巧子分类