小狗上學病毒

小狗上學病毒這是一個使用VB編寫的病毒。可以通過隨身碟等移動存儲傳播。修改執行檔圖示,映像劫持防毒軟體。

基本介紹

  • 中文名:小狗上學病毒
  • 類別:病毒
  • 編寫:VB
  • 釋放檔案:%systemroot%\system32\s
破壞電腦一下內容,病毒啟動後,釋放如下檔案或者副本,試圖結束一些安全工具的進程,映像劫持如下防毒軟體和安全工具:,添加註冊表,修改com和exe檔案的檔案關聯,修改exe的圖示關聯,查找帶有如下字樣的視窗,作者在soleboy.txt中寫道,解決方法,

破壞電腦一下內容

病毒啟動後,釋放如下檔案或者副本

%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt
各個分區根目錄下生成soleboy.exe和autorun.inf達到隨移動存儲傳播的目的。

試圖結束一些安全工具的進程

比如procexp.exe
隨身碟病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...

映像劫持如下防毒軟體和安全工具:

360Safe.exe
360tray.exe
ACAAS.exe
ACAEGMgr.exe
ACAIS.exe
ACALS.exe
ACASP.exe
ACenter.exe
AFMain.exe
AGB6.EXE
AGBKrnl.exe
AhnSD.exe
AhnSDsv.exe
AluSchedulerSvc.exe
AScheduleService.exe
AST.exe
avcenter.exe
avgnt.exe
avguard.exe
CCenter.exe
ccSvcHst.exe
FilMsg.exe
FrameworkService.exe
KASMain.exe
KAV32.exe
KVIETools.exe
kvsrvxp.exe
KWatch.exe
mcconsol.exe
Mcshield.exe
MPMain.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
MSProxy.ahn
naPrdMgr.exe
nod32krn.exe
nod32kui.exe
PCCIOMON.EXE
PCCVScan.exe
PCMAIN.EXE
PowerRmv.exe
psview.exe
Rav.exe
RavMonD.exe
sched.exe
sessmgr.exe
shstat.exe
SnipeSword.exe
TRIALMSG.exe
Twister.exe
vcn.exe
vcs.exe
vcw.exe
VsTskMgr.exe
劫持到%systemroot%\system32\soleboy.exe

添加註冊表

啟動項目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy: "%systemroot%\system32\soleboy.exe"達到開機啟動自身的目的

修改com和exe檔案的檔案關聯

修改com和exe檔案的檔案關聯指向soleboy.exe
HKLM\SOFTWARE\Classes\comfile\shell\open\command\: "soleboy.exe "%1" %*"
HKLM\SOFTWARE\Classes\exefile\shell\open\command\: "soleboy.exe "%1" %*"

修改exe的圖示關聯

指向soleboy.exe,使得所有exe圖示變成小狗圖案。
HKEY_CLASSES_ROOT\exefile\DefaultIcon: "soleboy.exe"

查找帶有如下字樣的視窗

找到後利用sendmessage函式傳送WM_CLOSE命令關閉視窗
瑞星反病毒資訊網 [信息安全 源自瑞星] - Windows Internet Explorer
Windows 任務管理器
註冊表編輯器
江民進程查看器
歡迎光臨江民科技[網路安全,選擇江民] - Windows Internet Explorer
金山毒霸信息安全網-免費下載防毒軟體 - Windows Internet Explorer
卡巴斯基實驗室: 反病毒軟體,反間諜程式,垃圾郵件過濾 - Windows Internet Explorer
360安全衛士-Windows Internet Explorer
防病毒反間諜軟體、端點安全、備份、存儲和遵從解決方案-賽門鐵克公司-Windows Internet Explorer
大型企業 - 趨勢科技 中國 - Windows Internet Explorer
東方微點 - Windows Internet Explorer
...
刪除%systemroot%\system32\taskkill.exe

作者在soleboy.txt中寫道

I want to go to university.
I think Jiangmin Antivirus Software is the best security software!
Don't worry ,I won't destroy your data.

解決方法

下載sreng,Icesword
sreng:http://www.skycn.com/soft/23312.html#download
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
已經安裝winrar的請打開winrar的安裝路徑 找到winrar.exe 把他改名為winrar.bat雙擊運行
然後單擊winrar選單欄“檔案”按鈕 打開壓縮檔案
分別解壓sreng和Icesword
1.把Icesword.exe改名為1.bat運行
打開Icesword-進程
結束soleboy.exe進程
2.同樣方法解壓sreng
把srengps.exe改名為 2.bat運行
啟動項目 註冊表
刪除如下項目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<soleboy><C:\WINDOWS\system32\soleboy.exe> [Soleboy]
並刪除所有紅色的IFEO項目
系統修復 檔案關聯 點擊“修復”按鈕
3.開始 運行 輸入regedit
展開HKEY_CLASSES_ROOT\exefile\DefaultIcon 修改該項數據為"%1" (不包括引號)

相關詞條

熱門詞條

聯絡我們