shualai.exe病毒及手工查杀方法

2021-03-17 我要评论

想了解shualai.exe病毒及手工查杀方法的相关内容吗，在本文为您仔细讲解的相关知识和一些Code实例，欢迎阅读和指正，我们先划重点：shualai.exe病毒及手工查杀方法，下面大家一起来学习吧。

这是个利用ANI漏洞传播的木马群，其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。

另：中招后，系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。

中招后的“症状”：进程列表中可见shualai.exe进程。

建议：用SRENG扫份日志保存，以便弄清基本情况，便于后面的手工杀毒操作。

手工查杀流程如下（用IceSword操作）：

1、禁止进程创建。

2、根据SRENG日志，先结束病毒进程shualai.exe以及所有被病毒模块插入的进程（病毒插入了哪些进程，取决于你当时运行的程序。以下是我运行该样本后的例子。）

Code:
[PID: 484][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]

[PID: 2252][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]

[PID: 3880][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]

[PID: 2760][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]

[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]

[PID: 2548][C:\windows\shualai.exe] [N/A, N/A]

3、删除病毒文件；清空IE临时文件夹。

4、删除病毒启动项

考虑一种特殊情况：

如果有人将autoruns等工具放在了系统分区以外，此时运行autoruns————麻烦大了！！————中此毒后，系统分区以外的.exe全被感染。

5、取消IceSword的“禁止进程创建”。

6、修复hosts文件。

注：系统分区以外的那些被病毒感染的.exe——估计是没救了。

删除wsttrs.exe等系列病毒的清除技巧

猜您喜欢

03-17 Windows 2003 SP2上QQ死机的多种解决方案
03-17 GoogleAdSense容易被K的可能性列表
03-17 Ajax 无刷新在注册用户名时的应用的代码
03-17 发现个AJAX图片浏览器SIMPLEVIEWER
03-17 AJAX中同时发送多个请求XMLHttpRequest对象处理方法
03-17 Google AdSense英文高价关键词排行列表
03-17 把RS.GetRows看得更清楚
03-17 多种语言下获取当前页完整URL及其参数
03-17 杀毒软件 Dr.Web Anti-virus for Windows Vista 4.44.0 Beta
03-17 腾讯TT浏览器(Tencent Traveler) V3.3 下载
03-17 Adobe Photoshop CS3 正式零售版+汉化文件下载
03-17sc创建系统服务用sc.exe将程序加入windows系统服务
03-17 小小孩也会有心病
03-17 写了个Vista的服务优化脚本
03-17 程序员不是我的最终目标!
03-17 关于XSL - XSL教程
03-17 选择模式 - XSL教程 - 2
03-17 XPath入门 - XSL教程 - 3

shualai.exe病毒及手工查杀方法

相关文章

猜您喜欢

今日热门