再说 foxrar.exe 病毒
来源:百度文库 编辑:神马文学网 时间:2024/03/29 01:53:52
在杀毒之前大家最好有3件武器在手,第一:hjackthis ,扫描系统之利器。第二:可以修改文件关联的软件,我用的是 全能助手Windows优化王 ,它不只能修复文件关联的问题,它还有很多其他的功能,是一款不错的软件。第三:系统进程监视的软件,这里推荐大家用 IceSword ,不但可以发现隐藏的系统进程,还可以监视系统进程的创建。好了,如果3件武器都有了,那么我们就可以杀毒了。
这个病毒,我研究了一下,最主要的文件就是 MSWDM.EXE 。我没有研究它的原代码,但是所有的病毒的产生都是由它一手造成的。如果是windows XP 系统,那么在 c:\windows\system32 下能找到它。 2000系统的话,在 c:\winnt\system32 下能找到它。
这个病毒可以说无所不用其极,它修改可执行文件的关联,还修改HOSTS文件,将大多数门户网站修改为一个固定IP,在后台启动 IE 浏览器做鬼鬼祟祟的事情。
在杀毒之前大家最好有3件武器在手,第一:hjackthis ,扫描系统之利器。第二:可以修改文件关联的软件,我用的是 全能助手Windows优化王 ,它不只能修复文件关联的问题,它还有很多其他的功能,是一款不错的软件。第三:系统进程监视的软件,这里推荐大家用 IceSword ,不但可以发现隐藏的系统进程,还可以监视系统进程的创建。好了,如果3件武器都有了,那么我们就可以杀毒了。
首先,清除我上篇文章里说的各种文件,如果有个别清除不了的,用hjackthis 1.99.1版本里带的KillBox清除之。
然后,修改可执行文件的关联,有一个文件叫 EXERoute.exe ,正常的系统是没有它的,如果大家在c:\winnt 或者c:\windows 下发现它,就说明你的可执行文件关联被它修改了,用优化王或者其他的软件修改过来。如果大家手头没有这样的软件,可以通过注册表直接修改过来,路径如下:[HKEY_CLASSES_ROOT\exefile\shell\open\command]
病毒将它修改成@="\"EXERouter.exe %1\" %*"
正确的值应该是:
@="\"%1\" %*"
大家在杀毒的时候一定要将icesword打开,显示系统进程,随时刷新,如果看到有可疑进程立刻结束。
这个病毒在进程里常出现的进程就是 foxrar.exe 和 IEXPLORE.exe 这两个。他们都是隐藏的,不用类似icesword这类的软件是不能发现的。
最后,将注册表里的病毒启动项目全都用 hjackthis 修复。观察一下 c:\winnt\temp 或者 c:\windows\temp 下是否自动生成扩展名为tmp的文件。
补充:在上一篇我忘了还有一些病毒文件的名字。
1.com : 在c:\winnt 或者 c:\windows 下 。
EXERouter.exe : 在c:\winnt 或者 c:\windows 下。
WINLOGON.exe : 在c:\winnt 或者 c:\windows 下。
还有一些病毒文件的名字,我记不清了,一会我在感染一下病毒,把这些名字都记录在案,给大家发上来。
引用通告地址 (0):
http://www.pxue.com/trackback.asp?tbID=766
http://www.pxue.com/trackback.asp?tbID=766&CP=GBK
暂时没有评论
发表评论
作者: 用户名: 密码: 同时注册?验证码:
评论:
禁止表情
禁止UBB
禁止图片
识别链接
识别关键字
表 情
这个病毒,我研究了一下,最主要的文件就是 MSWDM.EXE 。我没有研究它的原代码,但是所有的病毒的产生都是由它一手造成的。如果是windows XP 系统,那么在 c:\windows\system32 下能找到它。 2000系统的话,在 c:\winnt\system32 下能找到它。
这个病毒可以说无所不用其极,它修改可执行文件的关联,还修改HOSTS文件,将大多数门户网站修改为一个固定IP,在后台启动 IE 浏览器做鬼鬼祟祟的事情。
在杀毒之前大家最好有3件武器在手,第一:hjackthis ,扫描系统之利器。第二:可以修改文件关联的软件,我用的是 全能助手Windows优化王 ,它不只能修复文件关联的问题,它还有很多其他的功能,是一款不错的软件。第三:系统进程监视的软件,这里推荐大家用 IceSword ,不但可以发现隐藏的系统进程,还可以监视系统进程的创建。好了,如果3件武器都有了,那么我们就可以杀毒了。
首先,清除我上篇文章里说的各种文件,如果有个别清除不了的,用hjackthis 1.99.1版本里带的KillBox清除之。
然后,修改可执行文件的关联,有一个文件叫 EXERoute.exe ,正常的系统是没有它的,如果大家在c:\winnt 或者c:\windows 下发现它,就说明你的可执行文件关联被它修改了,用优化王或者其他的软件修改过来。如果大家手头没有这样的软件,可以通过注册表直接修改过来,路径如下:[HKEY_CLASSES_ROOT\exefile\shell\open\command]
病毒将它修改成@="\"EXERouter.exe %1\" %*"
正确的值应该是:
@="\"%1\" %*"
大家在杀毒的时候一定要将icesword打开,显示系统进程,随时刷新,如果看到有可疑进程立刻结束。
这个病毒在进程里常出现的进程就是 foxrar.exe 和 IEXPLORE.exe 这两个。他们都是隐藏的,不用类似icesword这类的软件是不能发现的。
最后,将注册表里的病毒启动项目全都用 hjackthis 修复。观察一下 c:\winnt\temp 或者 c:\windows\temp 下是否自动生成扩展名为tmp的文件。
补充:在上一篇我忘了还有一些病毒文件的名字。
1.com : 在c:\winnt 或者 c:\windows 下 。
EXERouter.exe : 在c:\winnt 或者 c:\windows 下。
WINLOGON.exe : 在c:\winnt 或者 c:\windows 下。
还有一些病毒文件的名字,我记不清了,一会我在感染一下病毒,把这些名字都记录在案,给大家发上来。
引用通告地址 (0):
http://www.pxue.com/trackback.asp?tbID=766
http://www.pxue.com/trackback.asp?tbID=766&CP=GBK
暂时没有评论
发表评论
作者: 用户名: 密码: 同时注册?验证码:
评论:
禁止表情
禁止UBB
禁止图片
识别链接
识别关键字
表 情
再说 foxrar.exe 病毒
SVOHOST.EXE 病毒的解决方法-
Lcass.exe病毒手动清除方法
setask.exe--再说搜狗浏览器网络加速
nat.exe是什么?nat.exe鬼影病毒.nat.exe专杀
iexplore.exe自动启动运行!(貌似病毒引起,已解决!)
新手也能对付病毒:手工恢复.EXE关联
iexplore.exe自动启动运行!(貌似病毒引起,已解决!)
U盘病毒OSO.exe(Worm.Pabug.ck)
EXE文件被病毒破坏后的修复方法
taskmgr.exe系统进程及相关病毒介绍
alg.exe是什么进程文件?如何删除alg病毒?
完全删除update.exe病毒的清理方法
完全删除update.exe病毒的清理方法
清除正在运行的EXE、DLL病毒 【独家啊】
清除正在运行的EXE、DLL病毒 【独家啊】
新手也能对付病毒:手工恢复.EXE关联
EXE文件被病毒破坏后修复方法
spoolsv.exe文件分析及病毒查杀
我发现的最新的非常厉害的病毒:yeyinhi.exe 与rujrmue.exe
RavMon.exe 或 RavMon 进程信息(RavMon.exe病毒的查杀方法)
病毒 的名字是tel.xls.exe病毒 互动团队学习社区:::主题
eXe
3.exe、www.senlove.com/0/木马群清除 _病毒疫情_病毒_发掘网_数字...