12   1  /  2  页   跳转

关于Pictures.exe

收藏
本主题由 大版主 baohe 于 2008-10-27 21:11:39 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-10-25 16:38 | 只看楼主 短消息 资料
字号: 1楼

关于Pictures.exe

样本来自:http://bbs.janmeng.com/viewthread.php?tid=811629&extra=page%3D1
文件大小:188K;MD5值:5ecb6ab1d0c609c37b3e4fa533548356
瑞星20.67.51不报毒。

1、释放文件:
C:\windows\system32\GroupPolicy\BttnServ.exe
C:\windows\system32\dllcache\smncpl.dll

2、删除文件:
C:\windows\system32\dllcache\svchost.exe

3、修改桌面快捷方式并在快捷方式指向的程序位置释放病毒文件:
(1)将autoruns.exe、IceSword.exe、SRENG.exe、Windows Media Player.exe的快捷方式修改为:
autorunsdfx.exe、IceSworddfx.exe、SRENGdfx.exe、Windows Media Playerdfx.exe(图1)

(2)在autoruns.exe、IceSword.exe、SRENG.exe、Windows Media Player.exe所在目录下分别创建病毒文件autorunsdfx.exe、IceSworddfx.exe、SRENGdfx.exe、Windows Media Playerdfx.exe。
注:上述病毒的第三步动作可能因不同的电脑桌面快捷方式设置而有所不同。

4、写注册表:
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"(Default)"="C:\\windows\\system32\\dllcache\\svchost.exe"
"CPQEASYBTTN"="C:\\windows\\system32\\GroupPolicy\\BttnServ.exe"
(2)HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\\LowRiskFileTypes
"LowRiskFileTypes"=".exe"

杀毒流程

1、用资源管理器找到并双击运行IceSword(若用快捷方式运行IceSword,实际运行的是病毒程序IceSworddfx.exe)。
2、结束病毒进程svchost.exe(dll图标,路径:C:\windows\system32\dllcache\smncpl.dll。见图2)。结束IE浏览器进程。

4、删除病毒文件(图3)

5、删除病毒添加的注册表内容。
6、将病毒篡改过的桌面快捷方式改回正常(例子见图4)


用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
本帖被评分 1 次
分享到:
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-10-25 16:41 | 短消息 资料
字号: 2楼

回复 1F baohe 的帖子

猫叔
病毒svchost.exe

C:\windows\system32\dllcache\smncpl.dll

不是EXE文件?
gototop
 
piao2008
头像
横据古稀狮
  • 帖子:10181
  • 注册: 2008-05-04
  • 来自:东北那嘎达
论坛8周年活动礼物
发表于: 2008-10-25 16:42 | 短消息 资料
字号: 3楼

回复:关于Pictures.exe

版本辛苦了,收藏你提供的方法。谢谢
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-10-25 16:43 | 只看楼主 短消息 资料
字号: 4楼

回复: 关于Pictures.exe



引用:
原帖由 aaccbbdd 于 2008-10-25 16:41:00 发表
猫叔
病毒svchost.exe

C:\windows\system32\dllcache\smncpl.dll

不是EXE文件?


看图2。
svchost.exe只是病毒进程名,此进程的实质内容是C:\windows\system32\dllcache\smncpl.dll
如果用windows任务管理器,无法发现此进程异常。
最后编辑baohe 最后编辑于 2008-10-25 16:44:03
gototop
 
咕噜猪zzZ睡觉觉
头像
拙长孩提狮
  • 帖子:147
  • 注册: 2007-02-03
  • 来自:
发表于: 2008-10-25 19:02 | 短消息 资料
字号: 5楼

回复:关于Pictures.exe

顶收藏
gototop
 
xueyan_xueyan
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2008-07-28
  • 来自:
发表于: 2008-10-25 19:59 | 短消息 资料
字号: 6楼

回复: 关于Pictures.exe

用冰刃在进程中结束dllcache\svchost.exe    进程中结束
删除文件
%windir%\system32\dllcache\svchost.exe      没有这个
%windir%\system32\GroupPolicy\BttnServ.exe;  删除了

删除各分区根目录下的Pictures.exe;      删除了

删除注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CPQEASYBTTN    没有这个
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Default);              删除不掉

可是病毒还是没有办法删除

扫描的日志见附件

附件附件:

文件名:SREngLOG.log
下载次数:196
文件类型:application/octet-stream
文件大小:
上传时间:2008-10-25 19:58:36
描述:log
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-10-25 20:02 | 短消息 资料
字号: 7楼

回复:关于Pictures.exe

C:\WINDOWS\system32\dllcache\svchost.exe
就这?
病毒启动项呢

附件解压后运行,暴力删除

附件附件:

下载次数:191
文件类型:application/rar
文件大小:
上传时间:2008-10-25 20:02:36
描述:rar
gototop
 
vistalong
头像
卡卡反病毒小组
  • 帖子:157
  • 注册: 2008-06-03
  • 来自:
发表于: 2008-10-25 20:06 | 短消息 资料
字号: 8楼

回复:关于Pictures.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\\LowRiskFileTypes
"LowRiskFileTypes"=".exe"
这个是什么含义  ?你的是vista吧  ?
毛叔解答一下疑惑
gototop
 
pigboy
头像
卡卡反病毒小组
  • 帖子:3784
  • 注册: 2007-02-22
  • 来自:
论坛8周年活动礼物十周年
发表于: 2008-10-26 01:15 | 短消息 资料
字号: 9楼

回复:关于Pictures.exe

猫叔  剑盟的样本有些没注册的进不去 

不知道可不可以在解决病毒方法里  附上样本
gototop
 
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2008-10-26 13:00 | 短消息 资料
字号: 10楼

回复:关于Pictures.exe

...注册也进不去
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT