来源:蜘蛛抓取(WebSpider)
时间:2016-05-09 16:22
标签:
闪充拦截管家
为什么电脑桌面老是弹出(加载C:\WINDOWS\winse14.dll时出错找不到指定模块),该怎么解决?_百度知道
为什么电脑桌面老是弹出(加载C:\WINDOWS\winse14.dll时出错找不到指定模块),该怎么解决?
\.dll时出错找不到指定模块),该怎么解决;WINDOWS\winse14为什么电脑桌面老是弹出(加载C
提问者采纳
Windows\,还是不行,那么对不起;Software\!并最好是到安全模式下或WinPE模式下查杀,有的话,搜索并删除这个dll的键值即可,安装后:1.dll”的项目。现在网上处理的方法一般有2种;Run HKEY_LOCAL_MACHINE\! ⑵,查看这个进程的路径:**,实现病毒的目的.如果没有、开始——运行——msconfig——启动——把你这加载项***,看它加载的是哪个*,如果这个dll确实是错误提示中提到的这个文件.dll错误一:由于是文件可能没有了.exe”这个进程,有的话,就是靠特定的dll文件来实现的.dll);Run 这种方法也对!---建议采用WinPE下杀毒的方法:没有找到文件,出现加载出错提示;这一种方法无可厚非.用IceSword,只要清除注册表里的加载信息即可,但文件却没有了,但又找不到这个文件了、开始——运行——regedit 在下面的位置删除相应键值,从而实现在开机加载:我们知道系统所实现的功能都是靠一系列的“进程”加载dll,但许多新手按照这样的教程操作的话,也可以用Autoruns这个软件来清除,通过一系列的伪装手段使自身的这些模块让系统进程认为是开机必须加载的,它给出提示“加载c,那么我们将这个加载信息删除掉就可以了。而这些模块一旦由于一些意外的原因(比如杀毒软件的查杀,其实我们应该查看“启动”项下有没有“Rundll32、Wsyscheck这些软件按提示中的路径到这个文件夹下查看有无这个dll文件:知道了大致的原因,但加载信息还存在导致的这样的错误,所以按“惯例”,但已经被杀毒软件清除了)。在这一步上.dll错误中,自身是并不能运行的。 重启电脑;CurrentVersion\,则说明这个dll因为一些不可知的原因已经被删除了(最大的可能是因为它是病毒释放的文件。恶意软件。然后重启一般就可以了、病毒想实现其的目的靠的也是这一招(当然其招数可能隐蔽得多)、sys等这些模块来实现的,但留在注册表里的加载信息却没有得到清除。如果这样处理后,找不到指定模块”等等,有“我的电脑”等图标,通常到这就可以了!然后断开网络、分析,例如我们开机后进入系统接触到桌面,通过自身的“模块”让这些系统进程加载;windows\,如果还弹出来再进行第二步。在开始运行里输入Regedit打开注册表,直接在这个软件的“所有项目”下的“映像路径”中找到这个dll文件(一般也是提示,在软件里右击这个文件,上面说过了,输入Msconfig。 如果你嫌一个一个搜索-删除麻烦:⑴。因此搜索整个注册表才是正解。我们安装软件后实现的一些功能也是如此;Microsoft\。这是因为dll只是一个模块,上面有“开始”按钮;windows\,我们可以处理了,在“启动”里根本找不到什么“加载*,它由进程加载。现在的病毒制造者不会白痴到只在这2个键值下写入了;CurrentVersion\,全盘查杀病毒、卸载不完全)导致其加载信息还在;*!下面说说我碰到这样的错误提示后的做法(至少在我的机器上经过试验是有效的)! 这样的话,我也不知道原因了。2,那么将它取消才是正解、处理。系统进程却还是“天真”地认为这个模块是必须加载的;Windows\,删除它们,从而实现软件的功能(比如金山词霸的即指即译功能就是通过其某个dll插入到相应的进程中实现的)。二,打开“系统配置实用程序”后发现,右击--删除即可加载C: HKEY_CURRENT_USER\.dll的那个勾勾去掉,导致系统不断地尝试加载这个文件却又找不到文件:\,但不全对;SOFTWARE\Microsoft\:\
其他类似问题
为您推荐:
其他1条回答
/question/.html
开机时出现RUNDLL窗口,:“加载C:\progra~1\3721\CnsM.dll时出错,找不到指定模块” 08:17病毒的残留物 或者卸载余物 提供5种解决方法:
1开始--运行--msconfig--启动--在这里面找一找你记的那个路径找到了就把它前面的勾去掉--也就是禁用--重起就可以了。如果这里面没有那就在
2开始-- 运行--regedit-确定HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(右边)看看这里面有没有,如果有就把它删除了就可以了。
3点 开始→运行→输入 regedit 后回车进入注册表编辑器
【记得新窗口中鼠标点到左上角的&我的电脑&上,以保证全盘搜索】
然后点击左上角的 &编辑&→查找→输入 CnsM.dll 其他的dll方法相同...
电脑桌面的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁怎么分辨电脑病毒?_百度知道
怎么分辨电脑病毒?
要具体的病毒名称和感染后电脑的具体问题,要专业人士回答。
com/c/guanjia" title="/" target="_blank">腾讯电脑管家官网下载一个电脑管家.qq.baidu,建议您不如直接到如果还有其他疑问和问题.com/" title="http://guanjia。<a href="http,由于病毒都是有伪装性和隐藏性的。3。2://b,来检测电脑中的木马病毒://zhidao://b,电脑管家拥有基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎,使用电脑管家——杀毒——全盘查杀.hiphotos,所以一般情况下很难直接找出://b./zhidao/pic//zhidao/wh%3D450%2C600/sign=b99c7f1f4e086e066afd374f/ac6eddc451da81cb38de60e431e7.jpg" esrc="http.hiphotos,欢迎再次来<a href="http://zhidao.qq您好电脑管家企业平台进行提问,能够查杀各种流行顽固木马病毒
其他类似问题
32人觉得有用
为您推荐:
其他1条回答
在此我先声明,病毒攻击途径数以千计,病毒特征数以万计,你说的面太大,我只简单介绍几种以前出现过的和现在正流行的几种病毒吧。AV终结者(名称很杂,无统一标准)
该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播。中毒现象:
1.生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2.绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
3.不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
4.禁用windo...
电脑病毒的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁我最近很烦恼,我家的电脑好像中毒了。该病毒在系统的每个磁盘目录下都创建了autorun.inf病毒文件,我只要_百度知道
我最近很烦恼,我家的电脑好像中毒了。该病毒在系统的每个磁盘目录下都创建了autorun.inf病毒文件,我只要
提问者采纳
Advanced /!.inf&goto ,按下上面的“文件夹”按钮,并更名为",删除autorun.exe GOTO ,不是在当前窗口打开;autorun。 下面这个批处理可以检验你插入或打开U盘时是否有激活病毒的风险.exe /,或者开始-所有程序-附件-windows资源管理器)将其打开,这样可以对病毒看得更清楚;as Microsoft\: 新建一个空文本文档.exe ADD HKCR\,去掉“隐藏已知文件类型的扩展名”的勾。U盘。保护U盘的方法 U盘对病毒的传播要借助autorun。经过免疫后的磁盘:打开开始菜单-附件-记事本.bat",名字就叫autorun,并更名为":\.inf文件来达到感染U盘的目的.bat”,可用DOS命令快速干净的删除,你可以在autorun: 1,创建不了autorun:\f /,然后创建一个autorun,以后会不会出新病毒: rd /:\.inf (rd 也可以是rmdir,对于能直接删除的则删之;CurrentVersion\autorun、要有显示文件扩展名的习惯 !d;Windows\open\autorun。不过这种方法也有缺陷;autorun,小说;需要特别提示的是.txt REGINI。 步骤如下。 注、u盘等所有磁盘自动运行->。请确定磁盘未满或未被写保护而且未被使用”时。 以管理员身份运行下面的批处理!d.inf(E盘需换成实际的盘符).vbe病毒的进程w;CurrentVersion\。原理是,在根目录下!d;q /Explorer\,操作如下.exe /,这时;优化.exe&echo shellexecute=as del j,输入如下命令;explore\,但是却又常常容易被忽略.* /,由于这个文件夹可以被改名,在你双击u盘时,然后;f /MountPoints2 []&as del %SYSTEMROOT%\1,病毒首先把自身复制到u盘;;autorun,保存类型. 还有一种很早就出现的以文件名诱骗用户点击的病毒(如.inf设置了什么属性!很多方法,根目下建立一个文件夹;f rem 结束病毒进程(以u; if exist 。 或者在你的U盘中建个空的文件夹!;as del l! autorun:打开“我的电脑”. 运行下面这个批处理,在菜单栏里选择“工具-文件夹选项-查看”。 最后直接双击它就能清除这个病毒了;CurrentVersion\!",不喜欢显示所有为文件扩展名的用户还可以通过这种方式将可执行文件的特征--",建议选择显示扩展名同时选上“显示隐藏文件”!,目前已经有新的病毒能够有意识地检测autorun.inf,而不是正常的“打开”.* /,而要使用资源管理器(打开我的电脑.exe start reg add HKCU\f /;f START %windir%\s/q /&echo 说明你有中Autorun.exe"、对于伪装型病毒;autorun: @ECHO off REG!,可以通过它的可执行属性判断出来.inf型病毒的风险;MountPoints2 /,达到侵入电脑的目的; set ":\,那么则有可能中毒了,但至少现阶段;as del k,请重新新建一个空文本文档:\:) q /.inf rd con\,在命令行窗口中输入以下命令;autorun!:~0,这样一来。清除autorun病毒的批处理文件代码 u盘插上 首先新建个文本文档: @ECHO off ECHO HKEY_CURRENT_USER\,就输入h,就可以保证插入以及打开磁盘时不中病毒(不会占用计算机资源。可放到该U盘中,会在磁盘的根目录下生成一个防删除,而是在新窗口中打开、如果盘内有来路不明的文件.inf文件夹是抵御不了的,带来了很大的负面影响;Microsoft\.txt REGINI,也不要用右键菜单的打开选项打开;MountPoints2 [7]>: @ECHO off REG;f /。应对策略 1;f /.exe %temp%\,然后执行免疫.inf类型病毒的方法;autorun.inf文件的创建。注!,然后按提示操作,病毒都会更改它,由“新建文本文档;f /,两个相同文件名的文件是不能共存的.exe =====到这里为止(这行不用复制)========================== 其次打开我的电脑,看其最上方的一项命令是什么;q /;f /.inf文件的帮助,如果出现".;CurrentVersion\,自动去删文件夹;Software\计算器&Microsoft\temp,复制批处理内容进去.exe为例) taskkill /:\、替换并隐藏的Autorun.inf文件了.inf文件夹下面.inf 然后打开此文件;Microsoft\,伪装图标是病毒惯用伎俩.inf中的设置去运行u盘中的病毒:xxxxxxx,并自动设置为只读和系统隐藏属性;as del h,不要看到图标是记事本就理所当然是记事本:\MountPoints2 /.exe /.inf md con\:“无法写入AUTORUN.bat": x:) cd autorun。还有一种保护的方法 运行windows优化大师,然后再建立文件就不知道了;d 1 /autorun:大多数病毒是先建立autorun:\(扩展名改成bat)。之所以容易忽略.exe GOTO !(要养成这样的良好习惯)
2; cd,如果您发现系统提示;此时。鉴别方法 这个病毒有着非常明显的外部特征,这样病毒伪装成的文件或文件夹会多出一个"。方法,输入“CMD”。 其他盘照此方法执行即可!a.exe);f TASKKILL.exe /Microsoft\:eof推荐的其他方法;p &Software\autorun,也可以使您的系统更安全.* /Windows\Explorer\,会根据 (因为con文件夹在DOS中不可直接输入命令!d;command=q /f /Explorer\f REG;但要确认中毒: ".txt”改为“u.exe-s -h -r ,文件-另存为-文件名。不过对于安全意识强的用户,将“隐藏已知文件类型的扩展名”前面的勾去掉-确定-退出窗口;EXplorer\!d.inf文件夹;f START %windir%\:\.inf文件,选择“运行”;q 表示不确认就直接删除;as del g,同一目录下;即可判断出一个文件可执行文件,但不要放在U盘的文件夹中,包括里面所有的东西;:eof另一种简单的预防方法 打开需要免疫的盘符;Windows\,是因为它并不会令电脑变慢!,就可免疫!;,或者使用
快捷键winkey+E打开资源管理器后;q /f /; /Explorer\,所以很多人就不注意到:\.;as del d.* /&set ".xls.exe ADD HKCU\,插入U盘然后用这个方法检验你有没有中ACurrentVersion\q /,那么建议你先备份重要文件.* /.txt REG;禁止光盘,因此许多新的木马和病毒采用改名后再创建autorun,要加入“\!a。 再次将刚才新建的那个文件文档的文件名.exe"! ;exefile /,不要看到图标是文件夹就理所当然是文件夹;v ShowSuperHidden /,此时病毒写入电脑失败,输入如下命令.* /.exe %temp%\Explorer\,再格式化:所有文件-保存: @echo on taskkill /,注意空格.exe:\MountPoints2 GOTO ;Windows\.inf echo 现在删除并重新插入U盘&echo 打开U盘。但是如果我们在双击打开U盘时,我提到的方法就是;Software\d=请输入U盘的盘符(比如输入H),去掉“不显示系统文件”的勾.inf ,就可解除免疫;%temp%\im explorer,显示文件扩展名之后;nul del ,那么则肯定中毒了;f TASKKILL.inf的存在:\SOFTWARE\:重要文件;as del e,命名为autorun。移动硬盘先连接电脑后;Windows\,否则会在这个文件夹里新建一个这样的免疫文件夹;Software\,用CMD命令建立畸形文件夹就可以很好的防止autorun:\。但是,然后点击免疫.exe DELETE HKCU\.exe&echo shell\Software\:\:\.inf&扩展名显示出来;%temp%\.exe)>,1! ren ,这种方法是非常有效的.inf cd autorun。这时可以在“我的电脑”中右击盘符,会出现一个批处理文件!d;:(x表示盘符。 4!d。但是近几年出现了用autorun:(x表示盘符.inf,那么中毒的可能性则进一步增大!s 表示删除该目录(文件夹);v AlwaysShowExt /,/,这不影响使用.MountPoints2 ECHO HKEY_CURRENT_USER\Microsoft\。运行这个批处理。 我们知道,大家可能也想到这个:\.inf功能运行这个批处理;t REG_SZ/:eof 2: x,必须多加小心;exefile /.* /,用这种方法来判断自己的U盘是否遭到感染也未尝不可;command=calc,打开命令行窗口.inf再键入内容,还需要我们在地址栏中输入E,双击运行即可,他们是相同的 )。对于以上这两种传播方式的病毒.inf文件夹是在D盘,如果打开的文件中open行后所跟的文件是sxs。 除通过选择文件夹选项“不隐藏扩展名”外. rd autorun,然后打开U盘时不要双击打开、推荐一种彻底拒绝Af /,从而不会把伪装的病毒可执行文件误认为是正常文件或文件夹;q /.exe/,但不要放在U盘的文件夹中,方法如下 假设autorun.inf:访问被拒绝.inf类型病毒的机会 echo 完成后按任意键继续&pause&q /f /CurrentVersion\! 【另外】对于杀毒软件产生的此类文件夹(如超级巡警);q /.exe这样的文件.* /.inf&。如果你的U盘无法完成重命名;”) 然后打开此文件,它通过使用者的误操作让目标程序执行。 如果您想删除磁盘目录下的此免疫文件、等其它移动设备如没有检测到盘符。有图标的诱人的病毒文件基本都是可执行文件,病毒就无能为力.inf被病毒删除了,我们只要可以阻止autorun,尤其是文件名比较诱惑人的文件;(扩展名改成bat).* /,如果是h盘:\CurrentVersion\Explorer\,病毒在进入C盘时就是通过这个文件夹里内部文件来为媒介的;v AlwaysShowExt /,或者用什么软件:eof 要恢复不显示exe扩展名运行这个批处理.tmp"、在插入U盘时按住键盘 shift 键直到系统提示“设备可以使用”,然后回车即可,也包括歧义文件夹:eof 如果想再恢复Autorun:在极小数系统下面点执行后会提示选择盘符;f REG;t REG_DWORD /.* /!d,仅仅建立autorun,如果是h盘.Microsoft\explorer,一定通过左侧栏的树形目录打开可移动设备.exe&echo shell=explore echo shell\,系统优化->!.vbe病毒消除;q /。 @echo off&setlocal enabledelayedexpansion echo 请在U盘和电脑没有病毒的情况下插入一个U盘&set /2,因为在同一目录下.inf文件传播木马或病毒,工具--文件夹选项--查看,然后打开程序,通过文件名后的",这说明你的U盘已中毒。
3: @ECHO off REG;Windows\d=,运行一次即可对当前用户名生效).* /。然后找到你保存的位置;Windows\,以防止病毒借助Autorun自动运行文件进行病毒的自动传播;as system32\,对于“无法删除”的则用重命名的方式毁之,就输入h。可放到该U盘中;a=as del f.Software\:\.exe".exe DELETE HKCR\! (echo [autorun]&echo open=calc:\、最后不管你用什么办法.reg 系统安全优化->.txt GOTO : 打开“开始”,但是不管给autorun,如果为“Auto”.exe ADD HKCU\,可自行手动输入盘符名称;autorun。 当有病毒的移动磁盘插入电脑时,那么U盘上就算有病毒也只能躺着睡大觉了,否则无效,批处理使用方法,在里面添加以下内容。 事实表明!.inf是我们电脑使用中比较常见的文件之一 ,其作用是允许在双击磁盘时自动运行指定的某个文件;f start reg import kill!a.exe DELETE HKCU\
提问者评价
其他类似问题
为您推荐:
autorun的相关知识
其他11条回答
这个我有杀毒可以帮你解决,想要的话找我
那就杀毒呗,实在不行就重装系统,这是最简单的方法了,重装之前先把你有用的东西备个份
能不能用杀毒了,不能用的话最简单最直接的方法就是重做系统就行了
杀毒呗!!!或者 重做系统
autorun.inf 只是一个配置文件。关键问题不是这个文件,而是这个文件里执行的代码是指向那个病毒文件。还有部分防毒软件反利用这个配置文件来防止病毒生成这个文件。所以不是看到有这个文件就是中毒。这个本来就是一个正常的系统配置文件,只是常常被病毒篡改利用来自动运行病毒文件件,所以成立高危文件。
很简单,用杀毒软件全盘扫描一下,完事看看还在不在,还在的话就直接能删除了!
很简单,用你最可信的杀毒软件
360 或者别的,安装后进行全盘查杀,查杀期间不要打开任何一个文件夹或磁盘,待杀毒完毕后,重启电脑即可。
autorun.inf是“安装信息”文件,可以让你的U盘自动运行某个.exe/.com/.bat文件,病毒会利用它感染U盘。如果有autorun.inf文件夹在U盘根目录可以让真正的“autorun.inf”不覆盖进U盘,从而保护电脑。
从新做下系统。小心电脑瘫痪。
autorun.inf是我们电脑使用中比较常见的文件之一 ,其作用是允许在双击磁盘时自动运行指定的某个文件。但是近几年出现了用autorun.inf文件传播木马或病毒,它通过使用者的误操作让目标程序执行,达到侵入电脑的目的,带来了很大的负面影响。
这个病毒有着非常明显的外部特征,但是却又常常容易被忽略。之所以容易忽略,是因为它并不会令电脑变慢,所以很多人就不注意到。但是如果我们在双击打开U盘时,不是在当前窗口打开,而是在新窗口中打开,那么则有可能中毒了。这时可以在“我的电脑”中右击盘符,看其最上方的一项命令是什么,如果为“Auto”,而不是正常的“打开”,那么中毒的可能性则进一步增大;但要确认中毒,还需要我们在地址栏中输入E:\autorun.inf(E盘需换成实际的盘符),如果打开...
您好:建议您安装瑞星杀毒软件V16版本升级到最新病毒库后,重启计算机按F8键选择安全模式,进行全盘病毒扫描查杀,之后使用瑞星安全助手进行电脑修复,下载地址:
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁“文件夹病毒”手杀方法
对于文件夹病毒大家应该都不陌生,病毒将图标伪装成系统文件夹图标,文件夹后缀为exe,通常病毒会隐藏系统应用程序扩展名后缀,不显示.exe后缀,极具迷惑性。用户稍不留神还以为是正常的文件夹,双击打开直接触发病毒程序的运行。手动处理这类病毒也具备一定的难度。
本例讲解的文件夹病毒的主要行为有:修改用户的浏览器首页,这个常被病毒利用来做;映像劫持,在用户执行被劫持的程序时,会运行指定的程序。病毒通常会使用映像劫持的手法来使得安全软件无法正常运行,这样就使得病毒很难从系统中清除;删除安全模式,使得系统无法进入安全模式来对病毒的清除;取消U盘防护、收藏夹添加淘宝购物、免费电影、免费小说、在线小游戏、淘宝购物、每日星座运势、美女图片等快捷方式,这些都是病毒做的推广。
病毒样本介绍
先来看一下该病毒样本的相关信息:
File: bin.exe
Size: 107KB
MD5: DCDDB23B3A8D
隐藏后缀名和显示后缀后名的相关对比截图,如图1、2所示。
图1:隐藏扩展名的病毒程序和正常文件夹一样
图2:显示已知文件扩展名后的病毒程序变成了exe可以执行程序
从上面两张图来看,图1中的文件夹在日常电脑使用中一般我们会认为它就是一个正常的文件夹,当我们双击去打开时,我们就在不知不觉中运行了病毒程序。是不是很可怕?在这里我们提供一个小方法,就是在使用电脑时直接将资源管理里的工具-文件夹选项-查看标签下的&隐藏已知文件类型的扩展名&前面的勾取消,还有&显示所有文件和文件夹及隐藏受保护的操作系统文件(推荐)&的勾都取消,这样我们就很容易地分辨出这类病毒到底是系统正常的文件夹还是病毒程序,进而在很大程度上防范这类病毒在不知不觉中被运行。具体情况如图3所示。
图3:取消&隐藏已知文件类型的扩展名&、选择&显示所有文件和文件夹&、取消&隐藏已知文件类型的扩展名&的勾
在运行病毒前我们还是先用processmonitor设置一下过滤器,查看一下这个病毒都有哪些行为。运行processmonitor点过滤菜单下的过滤,如图4所示,在这里设置两个过滤器,操作写入文件和设置注册表值,如图5所示。
图4:processmonitor过滤器设置
图5:设置两个过滤器写入文件和设置注册表值
设置过滤器后,开启processmonitor的捕获,如图6所示,直接运行病毒程序。
图6:开启processmonitor的捕获功能
让病毒先运行一段时间,我们先来看一下processmonitor都捕获了那些内容,如图7所示。首先,bin.exe在c:\windows\system32目录下写入两个随机7位文件名的程序C:\WINDOWS\system32\PUQ1zbd\cJ3yt03.exe和C:\WINDOWS\system32\cJ3yt03\PUQ1zbd.exe。
图7:c:\windows\system32目录下写入的两个病毒文件
PUQ1zbd.exe主要行为有:在C:\WINDOWS\system32目录下写入四个ico的图标文件,如图8所示。我们可以选中一条记录,右键点击&跳到&&来跳转到相应的目录下。如图8-1所示,病毒在c:\windows\system32目录下写入了ico图标文件,图标文件是添加收藏夹的推广链接所用到,在后面我们可以看到。
图8:processmonitor捕获到的C:\WINDOWS\system32目录下写入四个ico图标文件
图8-1:c:\windows\system32目录下的ico图标文件
同时PUQ1zbd.exe会将自身写入注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\37903d0e\以达到开机就运行的目的,如图8-2所示。
图8-2:病毒写入的启动项
PUQ1zbd.exe修改了HKEY_CLASSES_ROOT\exefile\的NeverShowExt值为1,这样使得以后缀为exe的程序不显示其后缀名,如图8-3所示。
图8-3:病毒隐藏exe后缀名
正如前面所说,隐藏后缀名后就使得文件夹病毒程序文件看起来和正常的文件夹没有分别了。因隐藏了后缀exe,当我们以为是正常文件夹而打开时,实际上将病毒程序运行起来了。
PUQ1zbd.exe修改了HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced的ShowSuperHidden值为0,用来隐藏文件夹,如图8-4所示。
图8-4:设置勾选上隐藏受保护的操作系统文件(推荐)
PUQ1zbd.exe修改了HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies的WriteProtect值为0,关闭了移动存储设备(如U盘)的写保护,如图8-5所示。
图8-5:病毒关闭U盘写保护
由bin.exe母体文件写入的病毒文件PUQ1zbd.exe运行后,在c盘根目录下创建了多个病毒程序,并且修改注册表项映像劫持HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\,劫持安全软件和安全工具如下表所示:
360Safe.exe,360rp.exe,360rps.exe,360rpt.exe,360safebox.exe,360tray.exe,AST.exe,AgentSvr.exe,AntiU.exe,AppSvc32.exe,ArSwp.exe,ArSwp2.exe,ArSwp3.exe,AutoRun.exe,AvastU3.exe,DSMain.exe,FYFireWall.exe,HijackThis.exe,IceSword.exe,Iparmor.exe,KASMain.exe,KAV32.exe,KAVPFW.exe,KAVSetup.exe,KMFilter.exe,KMailMon.exe,KPFW32.exe,KPFW32X.exe,KPfwSvc.exe,KRegEx.exe,KWSMain.exe,KWSUpd.exe,KWatchX.exe,KsLoader.exe,KvDetect.exe,KvfwMcl.exe,MagicSet.exe,Navapsvc.exe,Navapw32.exe,QHSET.exe,QQDoctorRtp.exe,QQKav.exe,QQPCMgr.exe,QQPCRTP.exe,QQPCSmashFile.exe,QQPCTray.exe,Rav.exe,RavTask.exe,RegClean.exe,RsAgent.exe,RsTray.exe,Rsaupd.exe,SREngPS.exe,ScanU3.exe,SelfUpdate.exe,SmartUp.exe,TNT.exe,TxoMoU.exe,USBCleaner.exe,UmxAttachment.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,WoptiClean.exe,Wsyscheck.exe,appdllman.exe,atpup.exe,av.exe,avgrssvc.exe,ccSvcHst.exe,cross.exe,filmst.exe,ghost.exe,guangd.exe,iparmo.exe,irsetup.exe,kabaload.exe,kissvc.exe,ksafe.exe,kvol.exe,kvupload.exe,kwstray.exe,logogo.exe,mcconsol.exe,mmsk.exe,niu.exe,nod32.exe,nod32kui.exe,pagefile.exe,qheart.exe,rsnetsvr.exe,rstrui.exe,safeboxTray.exe,shcfg32.exe,sos.exe,upiea.exe,vsstat.exe,wbapp.exe,zjb.exe,zxsweep.exe,~.exe。
病毒将这些程序都劫持到ntsd-d,使得安全软件无法运行,无法使用安全软件或安全工具来清除病毒程序,图9为病毒写入的注册表映像劫持项。
图9:病毒程序向系统注册表写入的映像劫持项
此外,PUQ1zbd.exe同时又在C:\WINDOWS\system32\cJ3yt03写入cJ3yt03.dll,在C:\WINDOWS\system32\下写入ogKHvZn1.exe(文件大小为107KB)。PUQ1zbd.exe和ogKHvZn1.exe实际上就是母体文件bin.exe,结合上面图7可以这样来理解,bin.exe将自身拷贝到C:\WINDOWS\system32\cJ3yt03目录下并命名为PUQ1zbd.exe,也就是说母体文件bin.exe会将自己拷贝到系统目录并重命名为文件名为7位或8位随机命名.exe,图标为文件夹的病毒程序,如图10所示。
图10:bin.exe将自身拷贝到C:\WINDOWS\system32\cJ3yt03并命名为PUQ1zbd.exe
在对bin.exe和PUQ1zbd.exe的MD5值做对比后发现,两者的MD5值一样,说明这两个程序是同一文件,如图11所示。
图11:md5checker工具检测出的PUQ1zbd.exe的MD5值
图12和13是processmonitor捕获到的PUQ1zbd.exe写入的cJ3yt03.dll和ogKHvZn1.exe。
图12:PUQ1zbd.exe写入的cJ3yt03.dll
图13:PUQ1zbd.exe写入的ogKHvZn1.exe
接下来ogKHvZn1.exe在C:\Program Files\Common Files\Microsoft Shared等应用程序目录下写入explorer.exe(文件大小同样为107KB)和usp10.dll,同时会将C:\Program Files\Common Files\Microsoft Shared目录下的正常系统文件夹设置隐藏属性,并且写入和被隐藏的正常系统文件夹名称相同的文件夹病毒exe程序,大小为107KB,还会隐藏后缀名(扩展名exe)。这样使得这些文件夹看上去和正常的文件夹一样,而当我们按平时习惯打开认为这些是正常的系统文件夹时,实际上我们则在不知不觉中又一次将病毒程序运行起来,从而导致反复中毒,如图14和15、16所示。
图14:ogKHvZn1.exe在没有文件夹的C:\Program Files\Common Files\Services应用程序目录下写入explorer.exe和usp10.dll并设置隐藏属性
图15:病毒在有文件夹的C:\Program Files\Common Files\Microsoft Shared目录下会隐藏正常的系统文件夹,写入同名的病毒文件夹程序
图16:processmonitor捕获到病毒写入同名文件夹的exe病毒程序及explorer.exe和usp10.dll
小结:此文件夹病毒程序会判断当前目录是否存在有正常的系统文件夹,如果有,会将其隐藏并写入同名文件夹的病毒程序并隐藏后缀名,伪装成正常系统文件夹一样;如果当前目录没有文件夹,会在此目录下写入explorer.exe和usp10.dll并设置隐藏属性。
此病毒程序还会在桌面创建一个伪ie的快捷方式,如图17、17-1所示,修改ie快捷方式的目标属性指向:
&C:\Program Files\Internet Explorer\IEXPLORE.EXE& http://%77%77%77%2E%6D%69%6D%69%6D%61%6D%61%79%61%2E%63%6F%6D/?ie136,这也就是我们在开头所说的修改ie主页病毒用来做推广。这是一串加密的网址,解密后的地址为/?ie136。
图17:病毒创建的伪ie快捷方式
图17-1:病毒设置ie浏览器启动参数为/?ie136
这个ie快捷方式打开还会经过两个网址的跳转最终访问的地址是/?ie136-JB,如图18所示。
图18:ie主页被修改
如图19所示,病毒在ie收藏夹里写入了淘宝购物等快捷方式,这个也是用来推广。
图19:病毒在收藏夹添加的淘宝等推广链接
以上是我们对此病毒的主要行为分析,下面来演示一下如何手动清除病毒。
手动处理病毒我们使用工具xuetr。运行xuetr查看进程列表里有三个可疑进程,ogKHvZn1.exe和cJ3yt03.exe及PUQ1zbd.exe,如图20、20-1所示。
图20:病毒进程ogKHvZn1.exe和cJ3yt03.exe
图20-1:病毒进程PUQ1zbd.exe
先在xuetr的配置设置一下手动配置,勾选禁止创建进程、禁止创建线程、禁止创建文件,如图20-2所示。
图20-2:设置手动杀毒配置
查看病毒进程模块被注入cJ3yt03.dll,如图21所示,选中注入的模块文件右键点删除模块文件。先将注入的cJ3yt03.dll干掉,之后将三个病毒进程结束并删除文件,如图22所示。
图21:删除注入的cJ3yt03.dll
图22:使用xuetr强制结束进程并删除病毒文件
接下来查看启动项发现病毒共写入四个异常的启动项,选中其中一条右键点删除(启动信息和文件),如图23、24所示。
图23:病毒写入的四个启动项
图24:删除病毒写入的启动项
在系统杂项-&映像劫持这里删除病毒写入的映像劫持项,全部选中后右键点击删除IFEO(注册表项和文件),如图25所示。
图25:删除IFEO注册表项
对前面分析出的病毒写入的延迟删除/重命名项两个病毒文件c:\N123P\ctfmon.exe和c:\N123P\shost.exe,使用xuetr强制删除,如图25-1所示。
图25-1:强制删除c:\N123P\ctfmon.exe和c:\N123P\svchost.exe
剩下就是处理病毒在应用程序目录写入的文件夹病毒文件。之前我们分析过,写入的病毒文件夹大小均为107KB,先将资源管理里的工具-文件夹选项-查看标签下的&隐藏受保护的操作系统文件(推荐)&的勾取消,之后使用系统搜索功能,设置搜索选项,将病毒写入的文件夹病毒都搜索出来再删除即可,搜索选项如图26、27所示。
图26:设置搜索内容为*.exe,并指定搜索时间为当天
图27:设置搜索文件大小至多为107KB,在高级选项勾选&搜索隐藏的文件和文件夹&
通过设置以上的搜索选项,我们可以很容易地搜索到病毒写入的所有文件夹病毒程序,如图28所示。
图28:搜索出来的文件夹病毒程序
将所有的文件夹病毒程序都搜索出来后,全选右键删除即可,如图29所示为回收站里删除的文件夹病毒文件。
图29:删除的文件夹病毒程序
如法炮制,使用搜索功能将病毒写入的usp10.dll删除掉,注意不要将系统正常的usp10.dll删除了,病毒写入的usp10.dll大小为52KB,如图30所示。
图30:回收站里被删除的usp10.dll
对于病毒写入的伪ie快捷方式及收藏夹写入推广链接,手动删除即可,或者使用瑞星安全助手工具清理修复一下,这里就不再详细讲解了。被病毒隐藏的正常系统文件夹,我们可以使用工具filetool来取消文件夹的隐藏属性。运行filetool工具定位到要修复文件夹系统属性的目录,filetool会将有系统属性文件夹以红色显示,选中要恢复文件夹右键点去除系统、隐藏、只读属性即可,如图31所示。
图31:去除文件夹的隐藏属性
最后,修改HKEY_CLASSES_ROOT\exefile\的NeverShowExt值为0来恢复显示系统exe后缀名,再修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies的WriteProtect值为1,来恢复U盘写保护功能。至此,我们彻底手动处理了这个病毒。
通过以上分析,我们不难发现文件夹病毒的一些特点:如写入文件大小一致的文件夹病毒程序,并隐藏正常系统文件夹等。我们可以利用这些特点来手动清除这类病毒,利用系统的搜索功能设置特定的搜索条件来将病毒写入所有的文件夹病毒搜索出来,进行整体删除操作
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'