guangd.exe病毒查杀（导致瑞星通用库安装失败） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 guangd.exe病毒查杀（导致瑞星通用库安装失败）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] guangd.exe病毒查杀（导致瑞星通用库安装失败）

julia_ding 自信弱冠狮帖子:443 注册: 2008-07-09 来自:	发表于： 2008-07-22 00:09 \| 只看楼主短消息资料字号：小中大 1楼 guangd.exe病毒查杀（导致瑞星通用库安装失败）不知道谁在我的电脑上用U盘的时候，感染了病毒，刚开始也没发现，第二天上qq，发现qq提示说qq医生已经被严重损坏，存在高风险的qq木马，查杀木马后，提示重新启动，重启后还是不行，这是才注意到系统时间被改成2005-10-31，才意识到自己中毒了！！！！！！！！！！！！！！！！具体表现为：包括瑞星、卡巴、360、金山等一系列杀毒软件通通用不了，重装也不行，瑞星安装时提示通用库出错。系统时间被修改。系统的cpu占用率100% 检查启动项，结束了几个自己比较熟悉的的启动项后，想通过免费在线查杀，消灭病毒，只找到了金山，在注册登录一系列麻烦之后，经过一个小时的查杀以为大功告成，重启结果发现没用。此时，我已经折腾了两个多小时了。求助瑞星，用木马群专杀可以解决通用库安装问题 http://dl.rising.com.cn/DownLoadInfo/2008-06-18/1213783336d47779.shtml软件下载 http://bbs.ikaka.com/showtopic-8443439.aspx视频教程下下来试了一下，还是不行，可能是因为它是专门针对通用库问题，而我的是任何杀毒软件都用不了。不过有瑞星安装时提示通用库出错问题的可以参考，不错滴。没办法，只好重新检查可疑启动项，一个个百度，最终发现多了一个guangd.exe。病毒guangd.exe在运行之后，先会判断系统盘下是否有guangd.exe这个病毒文件，如果没有的话则病毒会进行初始化工作；如果已经有了这个病毒文件，病毒则会实现下载功能：初始化操作：病毒首先会把系统时间改为2005-10-31，使得瑞星、卡巴斯基杀毒软件失效。然后遍历进程查找进程中是否存在以下反病毒软件进程，如果存在，则结束进程： 360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exenod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe… 然后添加以下注册表项实现映像劫持，使得用户启动以下进程时启动病毒程序： HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions \360rpt.exe\Debugger = "C:\WINDOWS\system32\guangd.exe" HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions \IceSword.exe\Debugger = "C:\WINDOWS\system32\guangd.exe"… 然后在System32路径下释放病毒程序guangd.exe并添加以下注册表启动项实现自启动 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "DsNiu" = C:\WINDOWS\system32\guangd.exe 然后病毒会遍历磁盘，把自己命名为guangd.exe拷贝到所有的磁盘中，添加autorun.inf得用户双击打开磁盘时同时运行病毒然后把System32的释放的病毒程序运行起来，最后病毒会在TEMP文件夹中释放自删除文件~DsNiu!.bat把自己删除。下载操作：病毒会启动两个svchost.exe进程，然后病毒会用自身内存映像覆盖这两个svchost.exe进程的内存空间，使用户认为该进程是正常的系统进程，同时这两个进程会互相进行保护，如果这两个进程中的任意一个进程被用户结束，则另一个进程会重新运行病毒程序，使得用户无法手动结束该进程。病毒会每隔60秒从http://bibo.xxxx.org/gdxiazai.txt网址下载病毒程序并运行。知道它可以屏蔽和抵制杀毒软件。具体解决办法： 1、进入了安全模式，进入到system32目录下，删掉guangd.exe； 2、运行msconfig，禁用所有启动项，自然包括禁用guangd.exe； 3、进入注册表，删掉所有guangd.exe相关的项，这个要比较有耐心，按F3一个个找，一个个删除，大概有几十个到一百个； 4、禁用了系统时间的修改；为了保护系统时间要装一个360TimeProt.exe ，附件上传了； 5、重新启动到正常模式，重新安装瑞星成功； 6、返回安全模式，查毒，杀掉了大概十几个病毒，耗时4个小时左右，大功告成。一天时间就这么过去了，欢迎有同样问题的相互交流。用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) 附件: 文件名:360TimeProt.rar 下载次数:216 文件类型:application/octet-stream 文件大小: 上传时间:2008-7-22 10:41:11 描述:rar 本帖被评分 1 次本帖被评分 1 次 julia_ding 最后编辑于 2008-07-22 10:41:11
julia_ding 自信弱冠狮帖子:443 注册: 2008-07-09 来自:	分享到：

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT