12   1  /  2  页   跳转

关于Pictures.exe

关于Pictures.exe

样本来自:http://bbs.janmeng.com/viewthread.php?tid=811629&extra=page%3D1
文件大小:188K;MD5值:5ecb6ab1d0c609c37b3e4fa533548356
瑞星20.67.51不报毒。

1、释放文件:
C:\windows\system32\GroupPolicy\BttnServ.exe
C:\windows\system32\dllcache\smncpl.dll

2、删除文件:
C:\windows\system32\dllcache\svchost.exe

3、修改桌面快捷方式并在快捷方式指向的程序位置释放病毒文件:
(1)将autoruns.exe、IceSword.exe、SRENG.exe、Windows Media Player.exe的快捷方式修改为:
autorunsdfx.exe、IceSworddfx.exe、SRENGdfx.exe、Windows Media Playerdfx.exe(图1)

(2)在autoruns.exe、IceSword.exe、SRENG.exe、Windows Media Player.exe所在目录下分别创建病毒文件autorunsdfx.exe、IceSworddfx.exe、SRENGdfx.exe、Windows Media Playerdfx.exe。
注:上述病毒的第三步动作可能因不同的电脑桌面快捷方式设置而有所不同。

4、写注册表:
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"(Default)"="C:\\windows\\system32\\dllcache\\svchost.exe"
"CPQEASYBTTN"="C:\\windows\\system32\\GroupPolicy\\BttnServ.exe"
(2)HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\\LowRiskFileTypes
"LowRiskFileTypes"=".exe"

杀毒流程

1、用资源管理器找到并双击运行IceSword(若用快捷方式运行IceSword,实际运行的是病毒程序IceSworddfx.exe)。
2、结束病毒进程svchost.exe(dll图标,路径:C:\windows\system32\dllcache\smncpl.dll。见图2)。结束IE浏览器进程。

4、删除病毒文件(图3)

5、删除病毒添加的注册表内容。
6、将病毒篡改过的桌面快捷方式改回正常(例子见图4)


用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
本帖被评分 1 次
分享到:
gototop
 

回复 1F baohe 的帖子

猫叔
病毒svchost.exe

C:\windows\system32\dllcache\smncpl.dll

不是EXE文件?
gototop
 

回复:关于Pictures.exe

版本辛苦了,收藏你提供的方法。谢谢
gototop
 

回复: 关于Pictures.exe



引用:
原帖由 aaccbbdd 于 2008-10-25 16:41:00 发表
猫叔
病毒svchost.exe

C:\windows\system32\dllcache\smncpl.dll

不是EXE文件?


看图2。
svchost.exe只是病毒进程名,此进程的实质内容是C:\windows\system32\dllcache\smncpl.dll
如果用windows任务管理器,无法发现此进程异常。
最后编辑baohe 最后编辑于 2008-10-25 16:44:03
gototop
 

回复:关于Pictures.exe

顶收藏
gototop
 

回复: 关于Pictures.exe

用冰刃在进程中结束dllcache\svchost.exe    进程中结束
删除文件
%windir%\system32\dllcache\svchost.exe      没有这个
%windir%\system32\GroupPolicy\BttnServ.exe;  删除了

删除各分区根目录下的Pictures.exe;      删除了

删除注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CPQEASYBTTN    没有这个
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Default);              删除不掉

可是病毒还是没有办法删除

扫描的日志见附件

附件附件:

文件名:SREngLOG.log
下载次数:196
文件类型:application/octet-stream
文件大小:
上传时间:2008-10-25 19:58:36
描述:log

gototop
 

回复:关于Pictures.exe

C:\WINDOWS\system32\dllcache\svchost.exe
就这?
病毒启动项呢

附件解压后运行,暴力删除

附件附件:

下载次数:191
文件类型:application/rar
文件大小:
上传时间:2008-10-25 20:02:36
描述:rar

gototop
 

回复:关于Pictures.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\\LowRiskFileTypes
"LowRiskFileTypes"=".exe"
这个是什么含义  ?你的是vista吧  ?
毛叔解答一下疑惑
gototop
 

回复:关于Pictures.exe

猫叔  剑盟的样本有些没注册的进不去 

不知道可不可以在解决病毒方法里  附上样本
gototop
 

回复:关于Pictures.exe

...注册也进不去
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT