手机
当前位置:查字典教程网 >实用技巧 >病毒查杀 >shualai.exe病毒及手工查杀方法
shualai.exe病毒及手工查杀方法
摘要:这是个利用ANI漏洞传播的木马群,其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。另:中招后,系统分区以外的.exe全被感染。这也是...

这是个利用ANI漏洞传播的木马群,其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。

另:中招后,系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。

中招后的“症状”:进程列表中可见shualai.exe进程。

建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作。

手工查杀流程如下(用IceSword操作):

1、禁止进程创建。

2、根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪些进程,取决于你当时运行的程序。以下是我运行该样本后的例子。)

Code:

[PID:484][C:windowsExplorer.EXE][MicrosoftCorporation,6.00.2900.2180(xpsp_sp2_rtm.040803-2158)]

[C:DOCUME~1baohelinLOCALS~1TempLgSy0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempMsxo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1Tempfyzo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempRav30.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempGjzo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempLgSy1.dll][N/A,N/A]

[C:windowssystem32cmdbcs.dll][N/A,N/A]

[PID:2252][C:ProgramFilesTinyFirewallProamon.exe][ComputerAssociatesInternational,Inc.,6.5.3.2]

[C:DOCUME~1baohelinLOCALS~1Tempfyzo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempMsxo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempLgSy0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempGjzo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempRav30.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempLgSy1.dll][N/A,N/A]

[PID:3880][C:WINDOWSsystem32shadowShadowTip.exe][PowerShadow,1,0,0,1]

[C:DOCUME~1baohelinLOCALS~1TempLgSy1.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempGjzo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempRav30.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1Tempfyzo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempMsxo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempLgSy0.dll][N/A,N/A]

[PID:2760][C:ProgramFilesSREng2SREng.exe][SmallfrogsStudio,2.3.13.690]

[C:DOCUME~1baohelinLOCALS~1TempLgSy1.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempGjzo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempRav30.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1Tempfyzo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempMsxo0.dll][N/A,N/A]

[C:DOCUME~1baohelinLOCALS~1TempLgSy0.dll][N/A,N/A]

[PID:2548][C:windowsshualai.exe][N/A,N/A]

3、删除病毒文件;清空IE临时文件夹。

4、删除病毒启动项

考虑一种特殊情况:

如果有人将autoruns等工具放在了系统分区以外,此时运行autoruns————麻烦大了!!————中此毒后,系统分区以外的.exe全被感染。

5、取消IceSword的“禁止进程创建”。

6、修复hosts文件。

注:系统分区以外的那些被病毒感染的.exe——估计是没救了。

【shualai.exe病毒及手工查杀方法】相关文章:

机器狗病毒清除方法

最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法

u盘病毒清除 Discovery.exe查杀方法

Service0.exe分析及清除方法提供

sxs.exe病毒及清理办法手工杀度详解

Hidden object的清除方法

chenzi.exe的分析及解决方法

cdsdf.exe,kl.exe,explorcr.exe等病毒清除方法

详细解说iexplore.exe是进程还是病毒不知所云

wincfgs.exe病毒清除方法

精品推荐
分类导航