网络安全 频道

[攻防手记]菜鸟也手动杀毒之中级篇

    【IT168 专稿】菜鸟也手动杀毒初级篇大家看的怎么样了?上节我们讲了写初级的东西。这次来实践一下。


 

    这个图片大家应该都很熟悉,它就是一阵子红红火火的熊猫烧香。今天我们就来实践一下手杀熊猫烧香。为了写这个文章,笔者在爱机上运行了熊猫烧香,写文章苦呀,废话少说。LET’S GO!!!(以下主要以学习为目的,文章最后有杀毒的脚本)

    首先我们打开进程管理器。要是看到如下几个进程。logo_1,rundl132(这个有意思。系统自带有个rundll32,它是rundl132,32前面的是数字1不是字母l),zt,wow,logo1_,Ravmon,Eghost,Mailmon,KAVPFW,IPARMOR,Ravmond
要是发现你机器上有以上进程之一就说明你已经感染了。有了也不用怕,这个文章不是就教你杀它吗?首先记住在你系统中存在的以上几个进程的名字。开始-》运行 输入CMD来打开命令提示符。 

    输入一下命令。这个命令是用来关闭正在运行中的熊猫烧香。Tskill 你查到的进程名,比如 tskill logo_1你查到几个就要运行几次以上命令来关闭所有熊猫烧香病毒。当然每次要用查到的不同的进程名。
    接下来运行一下几个命令
    taskkill /f /im 0sy.exe 
    taskkill /f /im 1sy.exe 
    taskkill /f /im 2sy.exe 
    taskkill /f /im 3sy.exe 
    taskkill /f /im 4sy.exe 
    taskkill /f /im 5sy.exe 
    taskkill /f /im 6sy.exe 
    taskkill /f /im 7sy.exe 
    taskkill /f /im 8sy.exe 
    taskkill /f /im 9sy.exe
    TASKKILL这个命令是用来强行关闭进程的。
    参数 F表示要强行关闭。
    参数IM表示指定要终止的图像名。
好了,运行完以上几个命令。你的机器就摆脱它了,当然这是暂时的,我们还得删除相应文件,才能安然无事。这个病毒确实有点变态,生成的文件比较多。
    先运行
    del d:\_desktop.ini /f/s/q/a
    这句的意识是删除_desktop.ini 这个文件,
    参数F表示强行删除只读文件
    S是从所有子目录删除指定文件,熊猫回在所有目录生成这个文件。
    接着
    del c:\Program Files\_desktop.ini
    这句就简单了,从指定目录删除指定文件 。运行以下几句。
    del %Windir%\MickNew\MickNew.dll
    del %Windir%\MH_FILE\MH_DLL.dll 
    del %Windir%\_desktop.ini
    del %Windir%\TODAYZTKING\TODAYZTKING.DLL
    还是删除%Windir%这个可能不明白,他是说是系统目录。
    运行下面一句。
    attrib -h -r -s c:\go.exe
    attrib指令用于修改文件的属性 就是修改GO.EXE的属性。
    接下来还有大堆命令,通过以上几句的讲解,你们应该能看明白,有些盘符要是你没有的话就不用运行,比如,G,H,J。
    del c:\go.exe 
    del c:\setup.exe
    attrib -h -s -r c:\autorun.inf 
    del c:\autorun.inf 
    attrib -h -r -s d:\go.exe 
    del d:\go.exe 
    del d:\setup.exe
    attrib -h -s -r d:\autorun.inf 
    del d:\autorun.inf 
    del e:\setup.exe
    attrib -h -r -s e:\go.exe 
    del e:\go.exe 
    attrib -h -s -r e:\autorun.inf 
    del e:\autorun.inf 
    attrib -h -r -s f:\autorun.inf
    del f:\go.exe 
    del f:\setup.exe
    attrib -h -s -r f:\autorun.inf 
    del f:\autorun.inf 
    attrib -h -r -s g:\go.exe 
    del g:\go.exe 
    del g:\setup.exe
    attrib -h -s -r g:\autorun.inf 
    del g:\autorun.inf 
    del h:\go.exe 
    del h:\setup.exe
    attrib -h -s -r g:\autorun.inf 
    del h:\autorun.inf 
    del i:\go.exe 
    attrib -h -s -r g:\autorun.inf 
    del i:\autorun.inf
    del i:\setup.exe
    del j:\go.exe 
    attrib -h -s -r g:\autorun.inf 
    del j:\autorun.inf 
    del j:\setup.exe
    del %windir%\system\Logo1_.exe
    del %windir%\rundl132.exe
    del %windir%\vDll.dll
    del %windir%\Dll.dll
    del %windir%\0Sy.exe
    del %windir%\1Sy.exe
    del %windir%\2Sy.exe
    del %windir%\3Sy.exe
    del %windir%\5Sy.exe
    del %windir%\1.com

    当然你也可以大可不必这么麻烦的运行每个命令。可以把以下几句复制到记事本,保存为 XX.BAT然后运行之…

0
相关文章