易码技术论坛

 找回密码
 加入易码
搜索
查看: 301814|回复: 4

[求助]我电脑上的病毒杀不完啊!!!!!!!!

[复制链接]
发表于 2005-10-12 17:26:00 | 显示全部楼层
该病毒通过创建自启动服务来达到开机运行的目标,而通常做法是通过修改注册表的启动项来实现,使得病毒更隐蔽。该病毒运行之后会将自己复制到系统安装目录,并启动为开机运行的服务“simple tip ip server”,同时释放一个用来开始后门DLL文件。它修改IE设置,将IE主页改为“about:blank”,禁止IE检查是否默认主页,禁止网络链接向导等,以防止病毒开启IE时被用户发觉。然后它就在后台将IE启动为服务,再将释放的DLL文件加载到IE中,以逃过防火墙的检测。然后通知攻击者病毒的存在,让攻击者连接中毒电脑并控制该电脑。


1.创建互斥体Gpigeon_Shared_MUTEX防止病毒的多个实例运行。

2.将自己复制为%SystemRoot%\server.exe,并将其加载为自动运行的系统服务“simple tip ip server”,同时还释放Dll文件server.dll,该文件大小为659968。

3.修改注册表:
添加主键以及表项,用来启动服务“simple tip ip server”:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simple tip ip server
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%SystemRoot%\server.exe"
"DisplayName"="simple tip\ip server"
"ObjectName"="LocalSystem"
"Description"="simple tip ip server"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simple tip ip server\Security
"Security"=<系统相关的十六进制代码>

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simple tip ip server\Enum
"0"="Root\\LEGACY_SIMPLE_TIP_IP_SERVER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER]
"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000
"Service"="simple tip ip server"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="simple tip\ip server"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000\Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="simple tip ip server"

修改IE设置:
HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Control Panel"Connwiz Admin Lock"=dword:00000001
"Check_If_Default"=dword:00000000

HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main
"Start Page"="about:blank"
"default_page_url"="about:blank"
"First Home Page"="about:blank"
"Check_Associations"="no"

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Check_Associations"="no"

4.将IEXPLORE.EXE启动为服务,并将server.dll注入到该进程中,病毒以IEXPLORE.EXE身份访问网络,通知外界攻击者,然后开启后门,让攻击者链接并控制中毒电脑。

此乃病毒行为,我从网上当的。该会杀了吧。
 楼主| 发表于 2005-10-13 16:22:00 | 显示全部楼层
看不懂啊!!!!!!请高手在指点一下,是不是按上面改了注册标就行了?谢谢了[em06][em06][em06]
发表于 2005-10-13 20:52:00 | 显示全部楼层
搜索到相关键值,删除和修改即可,注意修改前备份注册表文件
 楼主| 发表于 2005-10-22 18:02:00 | 显示全部楼层
谢谢已经修好了
[em17]
 楼主| 发表于 2005-10-12 13:31:44 | 显示全部楼层 |阅读模式
就是Backdoor.Gpigeon.spm用瑞星杀了几次,下次杀又有了,怎么样才能杀光啊?????[em06][em06]
您需要登录后才可以回帖 登录 | 加入易码

本版积分规则

Archiver|手机版|小黑屋|EMAX Studio

GMT+8, 2021-9-28 03:34 , Processed in 0.022014 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表