USP10.dll病毒發作行為(勿亂刪除,有中毒行為在 …
轉錄大陸網站
大陸的大內高手已經有解決的方法 現在只是轉錄這個病毒的行為
我只是 簡翻繁 所以會有大陸的電腦術語
病毒行為
1. 釋放usp10.dll挾持常用軟體
遍歷非系統所在目錄的所有驅動器,凡發現目錄中存在exe後綴的文件,
則將%windir%\tasks\1文件拷貝過去,命名為usp10.dll。
即使重裝系統病毒還會重新啟動
2. 調用TerminateProcess 結束安全軟件的駐留進程,列表如下
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe
3.添加對迅雷的映像劫持使迅雷無法啟動,具體如下:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\Thunder5.exe
"Debugger" REG_SZ "svchost.exe"
4.調用360保險箱卸載參數卸載360保險箱。並通過修改註冊表關閉360監控
5.創建線程關閉冰刃之類的安全軟件窗口和更改顯示隱藏文件
若當前窗口的class為"AfxControlBar42s",則向此窗口發送WM_CLOSE消息
,並模擬鍵盤的回車鍵。
6.釋放病毒啟動,並嘗試直接替換輸入法程序ctfmon.exe
7.下載大量盜號木馬病毒到用戶電腦
--
上網小心 小心上網
下載小心 小心下載
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.229.52.46
※ 編輯: security00 來自: 61.229.52.46 (02/09 16:39)
→
02/09 17:13, , 1F
02/09 17:13, 1F
→
02/09 17:21, , 2F
02/09 17:21, 2F
→
02/09 17:30, , 3F
02/09 17:30, 3F
→
02/09 17:33, , 4F
02/09 17:33, 4F
→
02/09 17:34, , 5F
02/09 17:34, 5F
→
02/09 17:35, , 6F
02/09 17:35, 6F
→
02/09 17:35, , 7F
02/09 17:35, 7F
※ 編輯: security00 來自: 61.229.50.243 (02/09 17:37)
→
02/09 18:06, , 8F
02/09 18:06, 8F
→
02/09 18:08, , 9F
02/09 18:08, 9F
推
02/09 22:07, , 10F
02/09 22:07, 10F
→
02/09 22:54, , 11F
02/09 22:54, 11F
→
02/09 22:55, , 12F
02/09 22:55, 12F
→
02/09 22:57, , 13F
02/09 22:57, 13F
推
02/10 01:24, , 14F
02/10 01:24, 14F
→
02/10 01:25, , 15F
02/10 01:25, 15F
→
02/10 01:25, , 16F
02/10 01:25, 16F
推
02/10 01:35, , 17F
02/10 01:35, 17F
→
02/10 01:35, , 18F
02/10 01:35, 18F
推
02/10 03:39, , 19F
02/10 03:39, 19F
→
02/10 08:19, , 20F
02/10 08:19, 20F
→
02/10 08:20, , 21F
02/10 08:20, 21F