Sitio web de resúmenes de películas - Bellezas de anime - Se ha secuestrado una imagen del sistema desconocida y envenenada

Se ha secuestrado una imagen del sistema desconocida y envenenada

Esta semana surgió una nueva versión del perro robot (AtiSrv.exe), y Drug Tyrant puede resolverlo.

¡Esta semana aparece un virus que combina las características del perro robot y el auto! Grupo de caballos de Troya y unidad de disco. Rango de explosión.

Su nombre de archivo principal es: AtiSrv.exe

Este virus hará que el software antivirus falle, se cargará en modo seguro, descargará una gran cantidad de troyanos que roban cuentas, secuestrará el navegador y escribirá rootkits. controladores para autoprotección....

Análisis de características simples del virus:

Liberarse en la carpeta de inicio y cargar aleatoriamente:

ALLUSERSPROFILE\" Menú Inicio\Programas\Inicio\AtiSrv.exe como se muestra en la figura Mostrado:

Carpeta de inicio.PNG (20,47 KB)

2008-3-1 23:51

Escribir gancho de ejecución:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

ffHADHAD1042.dll

HKCR\CLSID\ {1133c611-c3b1-4626-bd63-6605ea0d3486}

c:\windows\system32\ffhadhad1042.dll

Microsoft

HKCR\CLSID\{45AADFAA- DD36-42AB-83AD-0521BBF58C24}

c:\windows\system32\zjydcx.dll

Microsoft

HKCR\CLSID\{6E6CA8A1-81BC-4707 -A54C-F4903DD70BAD}

c :\windows\system32\zgxfdx.dll

Microsoft

HKCR\CLSID\{1DB3C525-5271-46F7-887A- D4E1ADAA7632}

c:\windows \system32\hfrdzx.dll

fJACJAC1041.dll

HKCR\CLSID\{6b22d384-97ba-4c43-81ab-a6bb24e9d831 }

c:\windows\ system32\fjacjac1041.dll

fNNBNNB1032.dll

HKCR\CLSID\{a6f28a4f-afc8-430e-9093-25083eb3aa77}

c:\windows\system32 \fnnbnnb1032.dll

fSACSAC1016.dll

HKCR\CLSID\{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}

c:\windows\system32\ fsacsac1016.dll

winsys8v.sys

HKCR\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}

c:\program files\internet explorer \plugins\winsys8v.sys (este archivo se escribirá en BHO para cargarlo al mismo tiempo)

Gancho de ejecución.PNG (30,75 KB)

2008-3-1 23:51

Escribir en Appinit_dlls provocó que sreng no pudiera detectar el proyecto debido a que escribió demasiada información dll.

Los datos son los siguientes:

bauhgnem.dll, eohsom.dll, fyom.dll, sauhad.dll, ijougiemnaw.dll, taijoad.dll, lnaixnauhqq.dll, idtj.dll, vhqq.dll, atgnehz .dll, rsqq.dll, tsqc.dll, vauyiqvlnaix.dll, wQ.dll, fmxh.dll, cty.dll, pahzij.dll, jz.dll, bz.dll, pyomielnux.dll, mhtd.dll, qnefnaib.dll , ej. dll, uixauh.dll, hjiq.dll, kiluw.dll, dsfg.dll, yqhs.dll, oaijihzeuyouhz.dll, jemnaw.dll, cuhad.dll, laixuhz.dll, rfhx.dll, mnauygniqaixnaij.dll, oqnauhc. .dll, xjxr.dll, utiemnaw.dll, sve.dll, wininat.dll, gnolnait.dll, zadnew.dll, htwx.dll, knaixnauhuoyizqq.dll, duygnef.dll, gmx.dll, nadgnohiac.dll, agzg.dll , qlihzouhgnfe dll, bchib.dll, tzm.dll, r2.dll, slcs.dll, xptyj.dll, xhtd.dll, QQ.dll, sfhx.dll, gnaixnauhqq.dll, 3auhad.dll, oadnew.dll, iemnaw. .dll, qcsct.dll, oadgnohiac.dll, iqnauhc.dll, aixauh.dll, ddtj.dll, nuygnef.dll, uohsom.dll, gnefnaib.dll, ijiq.dll, hjxr.dll, naijoad.dll, naixuhz.dll , nahzij.dll, fmxh.dll, zqhs.dll, jsfg.dll, utgnehz.dll, uyom.dll, wtiemnaw.dll, uyomielnux.dll, vlihzouhgnfe.dll, 2ty.dll, nauhgnem.dll, auhad.dll, rj .dll, hz.dll, naijihzeuyouhz.dll, xhqq.dll, jmx.dll, dgzg.dll, gsqq.dll, fz.dll, gnaixnauhuoyizqq.dll, gnolnait.dll, jsqc.dll, dqncj.dll, eve.dll , 2nauygniqaixnaij.dll, niluw.dll, ijougiemnaw.dll, wtwx.dll, jghf.dll, msd.dll, asj.dll, her.dll, awf.dll,

El propósito es cargar modo seguro. Como resultado, el modo seguro de reparación del usuario no es válido.

Como se muestra en la figura:

appinit_dlls.PNG (26,99 KB)

2008-3-1 23:51

Programa troyano de descarga de red en segundo plano:

1=/wm/1.exe

2=/wm/2.exe

3=/wm/3.exe

4 =/wm/4.exe

5=/wm/5.exe

6=/wm/6.exe

7=/wm/ 7 .exe

8=/wm/8.exe

9=/wm/9.exe

10=/wm/10.exe

11=/wm/11.exe

12=/wm/12.exe

13=/wm/13.exe

14 =/wm/14.exe

15=/wm/15.exe

16=/wm/16.exe

17=/wm/ 17 .exe

18=/wm/18.exe

19=/wm/19.exe

20=/wm/20.exe

21=/wm/21.exe

22=/wm/22.exe

23=/wm/23.exe

24 =/wm/24.exe

25=/wm/25.exe

26=/wm/26.exe

27=/wm/ 27 .exe

28=/wm/28.exe

Coludió con el grupo de troyanos automáticos y escribió el troyano de robo de cuentas:

[HKEY_LOCAL_MACHINE\Software \Microsoft\Windows \CurrentVersion\Run]

lt;upxdndgt;lt;C:\WINDOWS\upxdnd.exegt;

lt;Kvsc3gt;lt ;C:\WINDOWS\Kvsc3.exegt;

lt; C:\WINDOWS\DbgHlp32.exegt; SHAProc.exegt; etc.

Cargue el controlador de rootkits para autoprotección:

[iCafe Manager / iCafe Manager][Detenido/Inicio manual]

lt; \?\C:\DOCUME~1\papa\LOCALS~1\Temp\usbhcid .sysgt;

[Sc Manager / Sc Manager][Ejecución/Inicio manual]

lt ;\?\C:\DOCUME~1\papa\LOCALS~1\Temp\ usbcams3.sysgt;

[dohs/dohs][Detenido/Inicio automático]

lt; \?\C:\DOCUME~1\papa\LOCALS~1\Temp\tmp3 .tmpgt;

[fpid

s32/fpids32][En ejecución/Inicio automático]

lt;\?\C:\WINDOWS\system32\drivers\msosfpids32.sysgt;

[msertk/msertk][En ejecución/ Inicio automático]

lt;system32\drivers\msyecp.sysgt;

[msert/msert][En ejecución/Inicio automático]

lt;system32\drivers \mselk.sysgt;

Escribe ntsd hijack y destruye el modo seguro, lo que provoca que el software antivirus falle, como se muestra en la figura:

ntsd hijack.PNG (24,35 KB )

2008-3-1 23:51

Para obtener una lista detallada de archivos secuestrados, consulte: Archivo secuestrado list.txt (1,83 KB) Archivo secuestrado list.txt (1,83 KB)

Número de descargas: 2007

2008-3-1 23:51

Cómo lidiar con este virus:

Este virus combina una variedad de tecnologías de virus troyanos actualmente populares, destruyendo el programa antivirus y dificultando a los usuarios comunes realizar operaciones de limpieza. Se recomienda a los usuarios prestar atención a la prevención diaria contra este virus, mantener actualizada la base de datos de virus y mantener buenos y saludables hábitos en Internet.

Para los usuarios que han sido infectados por este virus, pueden intentar ejecutar el script Del_AtiSrv.bat en el archivo adjunto en modo normal y luego reiniciar en modo seguro.

Después de ingresar al modo seguro, ejecute Clean_IFEO.bat en el archivo adjunto para eliminar el secuestro de la imagen y ejecute Kingsoft Cleanup Expert para limpiar el malware. Como se muestra en la imagen:

Malware.PNG (15,15 KB)

2008-3-1 23:51

Las últimas novedades y cambios de Robot Dog :

Primero apreciemos el ícono de la nueva versión de Robot Dog:

Robot Dog.PNG (1.48 KB)

2008-3-4 14: 18

Esta variante del perro robot también modifica userinit.exe. Como se muestra en la figura, al utilizar la detección sigverif, se encuentra que el archivo userinit.exe ha sido modificado:

usetinit.PNG (9,04 KB)

2008-3 -4 14:18

Proceso de liberación

systemroot\system\SMSS.exe

systemroot\system\zfss.exe

Escribir Ingrese el servicio de carga aleatoria

HKLM\System\CurrentControlSet\Services

conectar

C:\WINDOWS\system\SMSS.exe

Service.PNG (12,42 KB)

2008-3-4 14:18

Modificar el sistema hora hasta el 1 de enero de 2000

Hora del sistema.PNG (10,18 KB)

2008-3-4 14:18

Solución:

Utilice la nueva versión de "Robot Dog/AV Terminator" para matar (la última versión 5.4) coopera con la herramienta de reparación de secuestro de imágenes de perro robot anterior para detectar y reparar.

Como se muestra en la imagen:

Zhuansha 5.0.PNG (46,77 KB)

2008-3-4 14:18

Reparación.PNG (9,24 KB)

2008-3-4 14:18

Nota: Dado que esta variante del perro robot descargará una variedad de troyanos y malware para robar cuentas en línea, actualice Antivirus para obtener un antivirus completo. después de la limpieza.

Dame puntos

上篇: ¿Por qué a todo el mundo le gusta usar cómics como avatares? 下篇: Guía detallada del juego "Might and Magic 6"