瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“庞龙”——关于bmnss.exe的查杀

1   1  /  1  页   跳转

致“庞龙”——关于bmnss.exe的查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-04-02 22:02 | 只看楼主 短消息 资料
字号: 1楼

致“庞龙”——关于bmnss.exe的查杀

1、结束bmnss.exe进程。
2、删除C:\WINDOWS\system32\bmnss.exe。
3、清理注册表:

展开:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\,删除Critical Runtime Indexer
展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\,删除Critical Runtime Indexer
展开HKLM\SOFTWARE\Microsoft\Ole\,删除Critical Runtime Indexer
展开HKLM\System\CurrentControlSet\Control\Lsa\,删除Critical Runtime Indexer
展开HKCU\Software\Microsoft\Windows\CurrentVersion\Run\,删除Critical Runtime Indexer
展开HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\,删除Critical Runtime Indexer
展开HKCU\Software\Microsoft\OLE\,删除Critical Runtime Indexer
展开HKCU\SYSTEM\CurrentControlSet\Control\Lsa\,删除Critical Runtime Indexer
4、修复hosts文件。
删除下列内容,然后保存hosts。
0.0.0.0    www.symantec.com
0.0.0.0    securityresponse.symantec.com
0.0.0.0    symantec.com
0.0.0.0    www.sophos.com
0.0.0.0    sophos.com
0.0.0.0    www.mcafee.com
0.0.0.0    mcafee.com
0.0.0.0    liveupdate.symantecliveupdate.com
0.0.0.0    www.viruslist.com
0.0.0.0    viruslist.com
0.0.0.0    viruslist.com
0.0.0.0    f-secure.com
0.0.0.0    www.f-secure.com
0.0.0.0    kaspersky.com
0.0.0.0    kaspersky-labs.com
0.0.0.0    www.avp.com
0.0.0.0    www.kaspersky.com
0.0.0.0    avp.com
0.0.0.0    www.networkassociates.com
0.0.0.0    networkassociates.com
0.0.0.0    www.ca.com
0.0.0.0    ca.com
0.0.0.0    mast.mcafee.com
0.0.0.0    my-etrust.com
0.0.0.0    www.my-etrust.com
0.0.0.0    download.mcafee.com
0.0.0.0    dispatch.mcafee.com
0.0.0.0    secure.nai.com
0.0.0.0    nai.com
0.0.0.0    www.nai.com
0.0.0.0    update.symantec.com
0.0.0.0    updates.symantec.com
0.0.0.0    us.mcafee.com
0.0.0.0    liveupdate.symantec.com
0.0.0.0    customer.symantec.com
0.0.0.0    rads.mcafee.com
0.0.0.0    trendmicro.com
0.0.0.0    pandasoftware.com
0.0.0.0    www.pandasoftware.com
0.0.0.0    www.trendmicro.com
0.0.0.0    www.grisoft.com
0.0.0.0    www.microsoft.com
0.0.0.0    microsoft.com
0.0.0.0    www.virustotal.com
0.0.0.0    virustotal.com
0.0.0.0    www.zango.com
0.0.0.0    zango.com

5、运行windows update,去微软打补丁。
最后编辑2006-04-04 10:42:21
分享到:
gototop
 
友好人士
头像
锋芒艾服狮
  • 帖子:1287
  • 注册: 2005-12-21
  • 来自:
发表于: 2006-04-02 22:09 | 短消息 资料
字号: 2楼

baohe大叔终于露面了
我 说呢
原来研究病毒去了
可是版主,你给出的迷底只有“庞龙”知道呀
给透点迷面吧!
gototop
 
蝈蝈guoguo
头像
初生襁褓狮
  • 帖子:243
  • 注册: 2005-12-31
  • 来自:
发表于: 2006-04-02 22:30 | 短消息 资料
字号: 3楼

gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-04-02 22:36 | 短消息 资料
字号: 4楼

引用:
【友好人士的贴子】baohe大叔终于露面了
我 说呢
原来研究病毒去了
可是版主,你给出的迷底只有“庞龙”知道呀
给透点迷面吧!

...........................

同感。版主把来龙去脉都说清楚呀。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-04-03 08:24 | 只看楼主 短消息 资料
字号: 5楼

【回复“轩辕小聪”的帖子】
这是那个网友通过邮箱发给我的一个.exe文件。我没用杀软查过,因此不知道具体的病毒名。
从注册表改动以及hosts文件被篡改推测——这可能是个bot类后门。中这类后门的系统缺少补丁。
gototop
 
palo
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2005-10-10
  • 来自:
发表于: 2006-04-04 10:42 | 短消息 资料
字号: 6楼

病毒名叫 backdoor.ircbot.aze 中毒后WORD反映巨慢.
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT