如何防御与删除calc.exe病毒
病毒信息:
遍历磁盘类型
附加信息:C:
行为描述:提升权限
附加信息:”SeDebugPrivilege”
行为描述:查找指定进程
附加信息:comine.exe
行为描述:在系统敏感位置(如开始菜单等)释放链接或快捷方式
附加信息:桌面 >> 方便导航.lnk >> %ProgramFiles%\Internet Explorer\IEXPLORE.EXE args:http://dh499qi3322.org
行为描述:创建进程
附加信息:%ProgramFiles%\Windows Media Player\comine.exe
%windir%\WinUpdate.exe
%system%\cmd.exe
%system%\ping.exe
行为描述:添加开机自启动项
附加信息:[Windows] – %ProgramFiles%\Windows Media Player\comine.exe
[Windows] : %ProgramFiles%\Windows Media Player\comine.exe
行为描述:创建互斥体
附加信息:”C:?PROGRAM FILES?WINDOWS MEDIA PLAYER?COMINE.EXE”
“C:?WINDOWS?WINUPDATE.EXE”
“OleDfRoot0000D80E5″
“OleDfRoot0000D9795″
“ShellCopyEngineFinished”
“ShellCopyEngineRunning”
行为描述:隐藏指定窗口
附加信息:ThunderRT6FormDC : [WinUpdate.exe]
ThunderRT6FormDC : [comine.exe]
ThunderRT6Main : [WinUpdate.exe]
ThunderRT6Main : [comine.exe]
行为描述:查找文件
附加信息:”C:\Documents and Settings”
“C:\Documents and Settings\Administrator”
“%USERPROFILE%\WinUpdate.exe”
“%USERPROFILE%\ping”
“%USERPROFILE%\ping.*”
“%USERPROFILE%\桌面\方便导航.lnk”
“%system%\ping.*”
“%system%\ping.COM”
“%system%\ping.EXE”
这是托马斯说的,具体我也不知道耶。但是我们让alien共享群里之后,下载下来,在虚拟机运行,的却挺流氓的额。
表示咱们开始防御。
刚开始,我打开文件之后,发现没什么反应的,但是我到本地磁盘C里 面 发现,这种病毒出现了。
我删除,拒绝访问,么办法,在群里看到alien的截图,在进程里面有这个程序的相关进程,好的,既然这样,我打开进程,结束了相关的进程。
ok,删除成功!
我以为,这就可以了 ,截图到群里,可结果alien 说,重启之后,又出现了,我试了试,还真的出现了耶。
这时,我就想到了,咱们防止U盘病毒的方法,在相应的目录建立相同名称的文件或者文件夹。。好的,咱们试试,建立文件开机重启。
郁闷的是,果真如alien所说的那样。本来O字节的文件,变成了34K的了,郁闷了 ,并且进程里还有这个病毒的运行记录,原来这个文件 ,被病毒替换了啊,就像我们复制东西时,发现相同名称的文件时,系统会提示你,是否覆盖原来文件一样,这里没有提示,直接给你覆盖了。
好吧!你厉害,既然如此,咱们在想办法吧,我就想,怎么会被替换呢?要不把他的属性换为只读属性呢?咱们试试!
重新启动,惊讶的发现,这次没有被替换了,并且文件的大小也变为了O字节,进程里面也没有了这个病毒的相关进程了,就重新启动了几次。
噢耶,终于没有了这个病毒的踪影了,这里提一下,刚在alien说无法修改文件的属性,那么咱们就先建立一个TXT文件试试,把属性改为只读,然后把名称替换为calc.exe,这样属性也就变为了只读的属性了。
我在服务器的里面也测试了,也是可以改为只读的属性的哦!~其实表题所说的删除,咱们现在还没有发现,看来只能借助杀毒了耶,表示360貌似杀不了的
遍历磁盘类型
附加信息:C:
行为描述:提升权限
附加信息:”SeDebugPrivilege”
行为描述:查找指定进程
附加信息:comine.exe
行为描述:在系统敏感位置(如开始菜单等)释放链接或快捷方式
附加信息:桌面 >> 方便导航.lnk >> %ProgramFiles%\Internet Explorer\IEXPLORE.EXE args:http://dh499qi3322.org
行为描述:创建进程
附加信息:%ProgramFiles%\Windows Media Player\comine.exe
%windir%\WinUpdate.exe
%system%\cmd.exe
%system%\ping.exe
行为描述:添加开机自启动项
附加信息:[Windows] – %ProgramFiles%\Windows Media Player\comine.exe
[Windows] : %ProgramFiles%\Windows Media Player\comine.exe
行为描述:创建互斥体
附加信息:”C:?PROGRAM FILES?WINDOWS MEDIA PLAYER?COMINE.EXE”
“C:?WINDOWS?WINUPDATE.EXE”
“OleDfRoot0000D80E5″
“OleDfRoot0000D9795″
“ShellCopyEngineFinished”
“ShellCopyEngineRunning”
行为描述:隐藏指定窗口
附加信息:ThunderRT6FormDC : [WinUpdate.exe]
ThunderRT6FormDC : [comine.exe]
ThunderRT6Main : [WinUpdate.exe]
ThunderRT6Main : [comine.exe]
行为描述:查找文件
附加信息:”C:\Documents and Settings”
“C:\Documents and Settings\Administrator”
“%USERPROFILE%\WinUpdate.exe”
“%USERPROFILE%\ping”
“%USERPROFILE%\ping.*”
“%USERPROFILE%\桌面\方便导航.lnk”
“%system%\ping.*”
“%system%\ping.COM”
“%system%\ping.EXE”
这是托马斯说的,具体我也不知道耶。但是我们让alien共享群里之后,下载下来,在虚拟机运行,的却挺流氓的额。
表示咱们开始防御。
刚开始,我打开文件之后,发现没什么反应的,但是我到本地磁盘C里 面 发现,这种病毒出现了。
我删除,拒绝访问,么办法,在群里看到alien的截图,在进程里面有这个程序的相关进程,好的,既然这样,我打开进程,结束了相关的进程。
ok,删除成功!
我以为,这就可以了 ,截图到群里,可结果alien 说,重启之后,又出现了,我试了试,还真的出现了耶。
这时,我就想到了,咱们防止U盘病毒的方法,在相应的目录建立相同名称的文件或者文件夹。。好的,咱们试试,建立文件开机重启。
郁闷的是,果真如alien所说的那样。本来O字节的文件,变成了34K的了,郁闷了 ,并且进程里还有这个病毒的运行记录,原来这个文件 ,被病毒替换了啊,就像我们复制东西时,发现相同名称的文件时,系统会提示你,是否覆盖原来文件一样,这里没有提示,直接给你覆盖了。
好吧!你厉害,既然如此,咱们在想办法吧,我就想,怎么会被替换呢?要不把他的属性换为只读属性呢?咱们试试!
重新启动,惊讶的发现,这次没有被替换了,并且文件的大小也变为了O字节,进程里面也没有了这个病毒的相关进程了,就重新启动了几次。
噢耶,终于没有了这个病毒的踪影了,这里提一下,刚在alien说无法修改文件的属性,那么咱们就先建立一个TXT文件试试,把属性改为只读,然后把名称替换为calc.exe,这样属性也就变为了只读的属性了。
我在服务器的里面也测试了,也是可以改为只读的属性的哦!~其实表题所说的删除,咱们现在还没有发现,看来只能借助杀毒了耶,表示360貌似杀不了的
