首页 >> 生活百科 >>

小狗上学病毒

生活百科 2023-02-16 13:39生活百科www.aizhengw.cn

小狗上学病毒

小狗上学病毒这是一个使用VB编写的病毒。可以通过随身碟等移动存储传播。修改执行档图示,映像劫持防毒软体。

基本介绍

  • 中文名小狗上学病毒
  • 类别病毒
  • 编写VB
  • 释放档案%systemroot%\system32\s

破坏电脑一下内容

病毒启动后,释放如下档案或者副本

%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。

试图结束一些安全工具的进程

比如procexp.exe
随身碟病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...

映像劫持如下防毒软体和安全工具

360Safe.exe
360tray.exe
ACAAS.exe
ACAEGMgr.exe
ACAIS.exe
ACALS.exe
ACASP.exe
ACenter.exe
AFMain.exe
AGB6.EXE
AGBKrnl.exe
AhnSD.exe
AhnSDsv.exe
AluSchedulerSvc.exe
AScheduleService.exe
AST.exe
avcenter.exe
avgnt.exe
avguard.exe
CCenter.exe
ccSvcHst.exe
FilMsg.exe
FrameworkService.exe
KASMain.exe
KAV32.exe
KVIETools.exe
kvsrvxp.exe
KWatch.exe
mcconsol.exe
Mcshield.exe
MPMain.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
MSProxy.ahn
naPrdMgr.exe
nod32krn.exe
nod32kui.exe
PCCIOMON.EXE
PCCVScan.exe
PCMAIN.EXE
PowerRmv.exe
psview.exe
Rav.exe
RavMonD.exe
sched.exe
sessmgr.exe
shstat.exe
SnipeSword.exe
TRIALMSG.exe
Twister.exe
vcn.exe
vcs.exe
vcw.exe
VsTskMgr.exe
劫持到%systemroot%\system32\soleboy.exe

添加注册表

启动项目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy: "%systemroot%\system32\soleboy.exe"达到开机启动自身的目的

修改com和exe档案的档案关联

修改com和exe档案的档案关联指向soleboy.exe
HKLM\SOFTWARE\Classes\comfile\shell\open\command\: "soleboy.exe "%1" %"
HKLM\SOFTWARE\Classes\exefile\shell\open\command\: "soleboy.exe "%1" %"

修改exe的图示关联

指向soleboy.exe,使得所有exe图示变成小狗图案。
HKEY_CLASSES_ROOT\exefile\DefaultIcon: "soleboy.exe"

查找带有如下字样的视窗

找到后利用sendmessage函式传送WM_CLOSE命令关闭视窗
瑞星反病毒资讯网 [信息安全 源自瑞星] - Windows Internet Explorer
Windows 任务管理器
注册表编辑器
江民进程查看器
欢迎光临江民科技[网路安全,选择江民] - Windows Internet Explorer
金山毒霸信息安全网-免费下载防毒软体 - Windows Internet Explorer
卡巴斯基实验室: 反病毒软体,反间谍程式,垃圾邮件过滤 - Windows Internet Explorer
360安全卫士-Windows Internet Explorer
防病毒、反间谍软体、端点安全、备份、存储和遵从解决方案-赛门铁克公司-Windows Internet Explorer
大型企业 - 趋势科技 中国 - Windows Internet Explorer
东方微点 - Windows Internet Explorer
...
删除%systemroot%\system32\taskkill.exe

作者在soleboy.txt中写道

I want to go to university.
I think Jiangmin Antivirus Software is the best security software!
Don't worry ,I won't destroy your data.

解决方法

下载sreng,Icesword
sreng:http://www.skycn.com/soft/23312.html#download
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
已经安装winrar的请打开winrar的安装路径 找到winrar.exe 把他改名为winrar.bat双击运行
然后单击winrar选单栏“档案”按钮 打开压缩档案
分别解压sreng和Icesword
1.把Icesword.exe改名为1.bat运行
打开Icesword-进程
结束soleboy.exe进程
2.同样方法解压sreng
把srengps.exe改名为 2.bat运行
启动项目 注册表
删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<soleboy><C:\WINDOWS\system32\soleboy.exe> [Soleboy]
并删除所有红色的IFEO项目
系统修复 档案关联 点击“修复”按钮
3.开始 运行 输入regedit
展开HKEY_CLASSES_ROOT\exefile\DefaultIcon 修改该项数据为"%1" (不包括引号)
上一篇:完美世界(腾讯代理发行的手游) 下一篇:糖尿病诊断治疗新进展

生活常识

Copyright@2015-2025 www.aizhengw.cn 癌症网版板所有