bsmain.exe 瑞星仇恨者查杀方法
bsmain.exe 瑞星仇恨者查杀方法
发布时间:2016-12-26 来源:查字典编辑
摘要:病毒具体分析如下:Quote:File:bsmain.exeSize:131072bytesFileVersion:20.00Modifie...

病毒具体分析如下:

Quote:

File:bsmain.exe

Size:131072bytes

FileVersion:20.00

Modified:2008年3月7日,22:18:04

MD5:1EFE96D8D20513351DB5C1681D7BBAFE

SHA1:3447D88F4789A1F969F7E0A2501CE16B629DC63D

1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:ProgramFilesRisingRavupdatesetup.exe,如果找不到则在注册表中查找SOFTWARErisingRav键,并利用RegQueryValueEx函数获得该键下面的installpath信息,即瑞星的安装路径。之后会在后台启动瑞星安装目录下UpdateSetup.exe的卸载程序,成功启动后,会查找类名为Button,窗口为卸载(&U)的窗口,然后PostMessage发送消息,接着查找名为“下一步(&N)”的窗口,再PostMessage模拟用户按键发送消息,这样就完成了模拟卸载的过程。

2.释放如下文件或者副本:

C:Windowssystem32bsmain.exe(病毒文件)

不断的遍历A-Z盘查找可移动存储设备,如果有则在其中生成bsmain.exe和autorun.inf达到随移动存储传播的目的。

3.在注册表中添加如下启动项目

Quote:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的

[BeijingRisingTechnologyCo.,Ltd.]

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon下的

[BeijingRisingTechnologyCo.,Ltd.]

以此达到开机启动自身的目的

4.添加映像劫持项目劫持如下常见杀毒软件

Quote:

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

AppSvc32.exe

ArSwp.exe

AST.exe

autoruns.exe

avconsol.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

ccSvcHst.exe

ceSword.exe

EGHOST.exe

FileDsty.exe

FTCleanerShell.exe

FYFireWall.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPF.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPfwSvc.exe

KRegEx.exe

KRepair.com

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

Navapsvc.exe

Navapw32.exe

nod32.exe

nod32krn.exe

nod32kui.exe

NPFMntor.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

QQDoctor.exe

QQKav.exe

Ras.exe

RsAgent.exe

Rsaupd.exe

rstrui.exe

runiep.exe

safelive.exe

shcfg32.exe

SmartUp.exe

SREng.EXE

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

upiea.exe

UpLive.exe

USBCleaner.exe

vsstat.exe

webscanx.exe

WoptiClean.exe

劫持到C:Windowssystem32bsmain.exe

5.遍历非系统分区,覆盖感染exe文件,被感染的文件无法修复。由于病毒本体采用瑞星杀毒软件的图标,所以被感染的文件也全变成瑞星杀毒软件的模样...

6.修改txt文件关联指向C:Windowssystem32bsmain.exe

解决办法:

下载sreng:

1.打开sreng,启动项目注册表删除如下项目

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的

[BeijingRisingTechnologyCo.,Ltd.]

把HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon下的

shell值改为explorer.exe

并删除所有红色的IFEO项目

系统修复-文件关联点击修复

2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是”然后确定

删除C:WINDOWSsystem32bsmain.exe

3.对于被覆盖感染的exe文件,就只能全部删除了...默哀吧...

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类