感染型下载器url_sexbox.exe的查杀方法
病毒文件:url_sexbox.exe
MD5值:9217104a2054603ef1278e676d1ac305
此毒运行后:
1、释放/下载很多病毒文件到系统中,病毒文件的类型有:.tmp、.exe、.dll、.sys、.dat、.fon、.ttf。
2、替换system32目录下的系统文件appmgmts.dll和comres.dll。
3、多个病毒模块(.dll、.fon、.ttf)插入系统核心进程以及所有应用程序进程。
4、添加IFEO劫持项,使多种杀软/防火墙失效。
5、感染硬盘各个分区的可执行文件.exe和.htm文件文件。
此毒插入进程较多,进程难以清理且系统核心进程(如winlogon.exe等)不能结束,否则系统崩溃重启。
NTFS系统的查杀方法:
0、断开网络。
1、根据中毒日期,分别搜索.tmp、.exe、.dll、.sys、.dat、.fon、.ttf等病毒文件。利用NTFS权限封死病毒文件(只允许删除,其它一律禁止)。
图1-图2仅显示病毒文件.exe的处理。.tmp、.dll、.sys.fon、.ttf病毒文件的处理与此相同。
DAT类病毒文件只有一个SGCQDLL.DAT。不用费劲搜索。直接到system32目录下找到它,封死!
2、强制删除病毒驱动。
图3-图4
3、强制删除被病毒替换的.dll
图5-图6
4、注销当前中毒的用户,再次登陆。从dllcache目录下或同类操作系统的其他正常电脑中拷贝appmgmts.dll和comres.dll文件到中毒电脑的system32目录下。
5、利用NTFS权限封死drivers目录(只允许删除,其它一律禁止)。
图7
6、双击运行被感染的病毒文件。
图8
被感染文件恢复正常。
图9-图10
此时双击运行被感染的.exe,不用担心病毒复发。断网状态下运行被此毒感染的.exe程序,在drivers目录释放病毒程序TXP1atform.exe,被感染程序恢复正常。而在第5步操作中,drivers目录已被NTFS封死(只允许删除文件)。
重复第6步。一一点击运行被感染的.exe。搞掂所有被感染的.exe后,再全部放开drivers目录的权限。
剩下的就是一一删除病毒文件及其添加的注册表项(不再一一赘述)。
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
