过期罐头电脑论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 4021|回复: 0
收起左侧

自己与Win32.InjectEx.nb.7005病毒的实战

[复制链接]
飞云零狼 2011-3-19 00:12:07 | 显示全部楼层
Win32.InjectEx.nb.7005
中文名:桌面感染者变种
病毒类型:蠕虫病毒
病毒长度:7005
影响系统:
Win9x,WinMe,Linux
简介:
被感染的文件会继续感染%Windows%下的Explorer.exe,并将正常的Explorer.exe拷贝到%Temp%目录下重命名为lorer.exe,感染后的Explorer.exe拷贝到%SystemRoot%dllcache
行为分析:
这是一个感染型文件。它会释放出病毒,继续感染其他文件。当用户运行被感染的文件时,病毒会调运正常的文件来,同时悄悄搜寻正常文件进行感染。
描述:
1.被感染的文件会继续感染%Windows%下的Explorer.exe,并将正常的Explorer.exe拷贝到%Temp%目录下重命名为lorer.exe,感染后的Explorer.exe拷贝到%SystemRoot%dllcache下;
2.感染后的文件公继续感染,正常文件入口的前5个字节指令被替换成病毒代码,跳转到病毒代码处执行;
3.病毒的代码分散在各个节的空闲处,由一张表指向每个病毒代码段的长度和大小,而后会分配一个全局堆,将病毒代码段统一解密拷贝进堆中,有部分指令需要解密,有意思的是解密的密钥为时间戳的低8位,最终的病毒代码是跳转到堆中执行的。

我的解决步骤和方法(一步步的在摸索中成功):

1.金山卫士,能查不能杀
2.avast,能杀不能抑制传播,于是就设置avast在开机前杀毒试试看
3.金山系统急救箱,能抑制传播,无法抑制病毒自动启动
4.出绝招了:记事本杀毒,用cmd输入“ftype exefile=notepad.exe %1”
5.第二绝招:右键每一个磁盘,然后属性,(分区属性设置窗口/配额/显示配额设置,)配额,启用配额管理,拒绝将磁盘空间给超过配额限制的用户,磁盘空间限制,1KB
6.重启,让avast开机前杀一次
7.avast,开机前杀毒,杀掉,无法扫尾
8.打开C:\WINDOWS\system32,找到cmd.exe,右击选择以管理员身份运行,输入“ftype exefile=%1 %*”,然后取消配额,之后打开其他软件
9.windows清理助手,可以扫尾,某些系统图标无法复原
10.usbcleaner,修复系统图标(修复后需重启explorer.exe)
11.windows清理助手、金山网盾、usbcleaner、金山清理专家、金山系统急救箱、avast,复查
12.再重启,一切正常!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

一键重装系统|雨人系统下载|联系我们|网站地图|过期罐头电脑论坛

GMT+8, 2024-3-29 09:49 , Processed in 0.031742 second(s), 25 queries .

官方免责声明:本站内容来自网友和互联网.若侵犯到您的版权.请致信联系,我们将第一时间删除相关内容!

Powered by Discuz!

专注于win7_win10_win11系统下载装机

© 2010-2023 GQGTPC.Com

快速回复 返回顶部 返回列表