UC知道各位大虾 救命啊~~~~ 病毒....
来源:百度知道 编辑:UC知道 时间:2024/06/04 19:32:15
各位大虾 救命啊~~~~
一直跳窗口
runtime error 5at 004082a4
一只跳 不停的跳
卡巴打不开 什么防毒的都打不开
看任务管理器
里面有2个陌生的进程
关掉 又自动运行了
wkhawlu.exe
ikcswon.exe
一直跳窗口
runtime error 5at 004082a4
一只跳 不停的跳
卡巴打不开 什么防毒的都打不开
看任务管理器
里面有2个陌生的进程
关掉 又自动运行了
wkhawlu.exe
ikcswon.exe
帮你找到的...不知道能不能用...
最近发现很多人出现了打不开shadu软件 反病 毒工具 甚至带有病 毒字样的窗口 今天就接到了这样的一个样本 先前
这是一个可以说结合了几乎所有病 毒的特征的病毒 除了感染文件之外 可以说是比熊猫有过之而无不及!
病毒特征:
1.破坏安全模式
2.结束常见杀毒软件以及反病毒工具进程
3.监控窗口
4.关闭自动更新以及Windows安全中心
5.屏蔽显示隐藏文件
6.下载木马
7.IFEO映像劫持
8.GHOST文件引导破坏
9.各盘符均有引导启动关联文件,即便你重装系统盘也照样发作
分析报告
File: 1201AEC1.exe
Size: 36435 bytes
MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB
SHA1: E760703C8776C652B424FA62AF945434FB786BE5
CRC32: 27CA1195
加壳方式:UPX
病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
这个随机的数字应该与机器码有关
该dll插入Explorer进程 Timplatform以及ctfmon进程
解决办法如下:
1.确定那个8位随机数的dll的名称
这里我们选用winrar确定那个dll的名称
方法是:打开winrar.exe
工具 查看
在上面的地址栏中 进入c:\program files\