神马文学网infostealer.gampass分析查处_幻影圣天使♂
来源:百度文库 编辑:神马文学网 时间:2024/04/30 01:34:46
infostealer.gampass分析查处
2007/05/16 01:03 A.M.
病毒行为:
1、 由于这个种木马带有生成伪装系统文件,所以给手动删除造成迷惑,故需要十分小心判认。
2、 此木马会通过系统保护项重复生成感染。
3、 此木马也可能会在C:\Documents and Settings\系统用户名\Local
Settings\Temp\生成1.exe、2.exe等可执行文件进行破坏exe关联。
4、中毒后,病毒修改了系统执行关联,控制不能执行.exe的命令,重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件
Program Files\Internet Explorer\iexplore.com,故上网时不能直接使用IE执行,有存在Windows\explorer.com也要先删除。
解决步骤:
1、 关闭系统还原。开机启动时按F8,选择带网络的安全模式进入,打开我的电脑,从工具->文件夹选项,在查看中,勾选[显示系统文件夹的内容],去掉勾选
[隐藏受保护的操作系统文件]的勾。选择[显示所有文件],去掉隐藏已知的后缀名。
然后到以上描棕的文件夹里,把相应的病毒文件删除。
如果不能正确判断文件是否系统文件还是伪系统文件,可以下载最新的木马分析专家扫描分析,会列出这些文件名,然后用他的病毒文件定位,把它们一一删除。
2、 在资源管理器的地址栏上直接输入:
C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet
Files\Content.IE5\
C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\
C:\Documents and Settings\系统用户名\Local Settings\Temp\
这三个临时文件夹中的文件全部直接删除。
3:删除自动运行的引用:
访问 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
如果找到值 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell,立即删除并重启机器
清除注册表:
使用注册表编辑器清除以下注册项(如果存在):
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell
HKEY_CURRENT_USER\software\bgm
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup
删除文件:
使用资源管理器删除以下文件(如果存在):
w32bumaf-c.exe
%system%\winrarshell32.exe
%windows%\backup.exe
4、 连接上网络,在资源管理器的地址栏上直接输入:http://cn.zs.yahoo.com/
然后在IE修复的高级修复中,通过扫描出来后,把所有未知的勾上,然后点立即修复,完成后,到IE修复的保护IE,启动保护中,把保护系统启动项勾选,把启动项保护起来。
5、 在雅虎助手的IE修复的编辑Hosts表,发现有IP,后面的网址的话,把前面的IP改为127.0.0.1 ,然后点击立即保存,重新启动计算机。
6、 重启系统后,用杀病毒软件(保持最新的病毒特征库)进行完全查杀病毒。
2007/05/16 01:03 A.M.
病毒行为:
1、 由于这个种木马带有生成伪装系统文件,所以给手动删除造成迷惑,故需要十分小心判认。
2、 此木马会通过系统保护项重复生成感染。
3、 此木马也可能会在C:\Documents and Settings\系统用户名\Local
Settings\Temp\生成1.exe、2.exe等可执行文件进行破坏exe关联。
4、中毒后,病毒修改了系统执行关联,控制不能执行.exe的命令,重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件
Program Files\Internet Explorer\iexplore.com,故上网时不能直接使用IE执行,有存在Windows\explorer.com也要先删除。
解决步骤:
1、 关闭系统还原。开机启动时按F8,选择带网络的安全模式进入,打开我的电脑,从工具->文件夹选项,在查看中,勾选[显示系统文件夹的内容],去掉勾选
[隐藏受保护的操作系统文件]的勾。选择[显示所有文件],去掉隐藏已知的后缀名。
然后到以上描棕的文件夹里,把相应的病毒文件删除。
如果不能正确判断文件是否系统文件还是伪系统文件,可以下载最新的木马分析专家扫描分析,会列出这些文件名,然后用他的病毒文件定位,把它们一一删除。
2、 在资源管理器的地址栏上直接输入:
C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet
Files\Content.IE5\
C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\
C:\Documents and Settings\系统用户名\Local Settings\Temp\
这三个临时文件夹中的文件全部直接删除。
3:删除自动运行的引用:
访问 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
如果找到值 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell,立即删除并重启机器
清除注册表:
使用注册表编辑器清除以下注册项(如果存在):
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell
HKEY_CURRENT_USER\software\bgm
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup
删除文件:
使用资源管理器删除以下文件(如果存在):
w32bumaf-c.exe
%system%\winrarshell32.exe
%windows%\backup.exe
4、 连接上网络,在资源管理器的地址栏上直接输入:http://cn.zs.yahoo.com/
然后在IE修复的高级修复中,通过扫描出来后,把所有未知的勾上,然后点立即修复,完成后,到IE修复的保护IE,启动保护中,把保护系统启动项勾选,把启动项保护起来。
5、 在雅虎助手的IE修复的编辑Hosts表,发现有IP,后面的网址的话,把前面的IP改为127.0.0.1 ,然后点击立即保存,重新启动计算机。
6、 重启系统后,用杀病毒软件(保持最新的病毒特征库)进行完全查杀病毒。
infostealer.gampass分析查处_幻影圣天使♂
Infostealer.Gampass病毒的清除方法
Infostealer.Gampass病毒的手动删除方法
Infostealer.Gampass病毒的清除方法 - Oracle Life
如何招商引资2_幻影1987
天使第一代:中国资本市场天使投资各阶层分析
天使第一代:中国资本市场天使投资各阶层分析
彩票投注站经营模式分析:兼营是现状专营是趋势_天使的泪
天使的味道_
天使的睡姿,^_^
货币与资本主义社会的三种幻影_缠中说禅_降低股票成本
报表分析捕捉疑点 分类突破查处大案
自然天使-無毒環保清潔用品_潔淨天使
爱上幻影
法国幻影
幻影.音画
查处窃电要细心(附实例)_古云镇转供电管理站
ipconfig命令详解_天使不在线!
白酒基本知识_越上狼爱程玉洁天使亲亲
天使与圣歌
高官调任后落马现象分析:查处阻力相对更小
宏观分析_宏观分析股票_宏观经济分析_股市宏观分析_股城网专题
如果轮回【幻影音画】
投石幻影绣球树