Javqhc木馬

Javqhc木馬, 最近流行的計算機木馬病毒。其特徵為:變形,不斷重寫註冊表服務項和病毒服務,方式隱蔽,普通安全軟體難以查殺。

基本介紹

  • 中文名:Javqhc木馬
  • 類屬:木馬
  • 特點:變形
  • 危害:不斷重寫註冊表服務項和病毒服務
簡介,感染Javqhc木馬後主要特徵,解決必備軟體,手工清除Javqhc木馬方法,

簡介

最近流行的計算機木馬病毒,主要表現這樣的特徵:變名
1、變名,變形,大量自我複製
(bj*srl.dll gd*i32.dll addr* help.dll ,中間為變名字母),躲避防毒軟體查殺,普通方式無法徹底清除。
2、不斷重寫註冊表服務項和病毒服務
病毒服務檔案為(comint32.sys),該木馬會不斷啟動該服務,gdwli32.dll 通過啟動其病毒服務注入各進程。
3、方式隱蔽,普通安全軟體難以查殺
該木馬隱蔽插入到其他程式進程,防毒軟體、安全工具能檢測出木馬,但無法徹底查殺。
4、泄露用戶隱私,盜竊網路財產帳號
將用戶網銀及網遊等帳號和密碼通過後台方式盜取,使用戶財產無形中被盜取。
查殺方法:
下載Gdwli32盜號木馬專殺工具
到安全模式下斷網查殺
查殺完畢後重啟計算機,再使用360安全衛士全面修復一下
(以上信息轉自360安全衛士論壇)。

感染Javqhc木馬後主要特徵

1、雙擊 360安全衛士卡巴斯基瑞星等exe安全軟體,沒有反應。並且硬碟檔案被刪除!這是由於病毒對EXE檔案進行了劫持且無法修復!對使用專殺工具對其進行清除有一定難度
2、常用域名被劫持到其它域名
該木馬會修改 hosts 表,奇虎360、卡巴斯基、金山、江民瑞星賽門鐵克 等安全廠商的升級伺服器、主頁、論壇的域名,均被劫持IP為222.73.126.115的主機,畫面為假冒百度網. 3、發現系統中QQ安裝目錄下有 wsock32.dll 存在且無法刪除,同時同目錄下生成一隱藏DLL檔案,雖可刪除但會無法登入QQ
4 無法進入安全模式,已被木馬破壞且無法修復!
5 木馬為驅動級病毒,正常WINDIOWS狀態下刪除馬上復活且DOS狀態下無法完全清除!
ghost,重裝c盤後完了又會復發,別的盤也有觸發檔案。除非你全格,這個我沒試過,呵呵。在正常情況下用關於病毒啦,或者兔子啦,最佳化大師啦,360安全啦點擊執行檔後執行檔消失,上網上查關於這個病毒的手動或者專殺的話會把你引到一個“baidu”網站,是偽造的,假的。就象那個什麼av病毒一樣,進安全模式會重起(不過我的電腦沒出現,如果你出現了類似情況可以先ghost,然後直接進安全模式,這個病毒做的不絕的是還不刪除你機器里的gho檔案,這個就好很多了)。普通的軟體很難看到隨電腦啟動的病毒,包括冰刃等很多,兔子和360那些就更不行了,更何況還啟動不了。

解決必備軟體

killer_javqhc.exe
專殺工具,在普通模式下他可能不工作說什麼也沒查到,只有在安全模式下會查只能刪除檔案但是不能阻止病毒的再生
System Repair Engineer 2.5
這個是個好專業的修復軟體,我看到過最專業最好用的,當然,在有病毒的情況下他也不能啟動。
過程方法:
1.到安全模式,先運行專殺,把掃描下的檔案記下路徑、名字
2.進入System Repair Engineer 2.5軟體界面,在開機啟動的地方會看到很多很多東西,一個一個刪吧,沒辦法的,出來混總是要還的,裡面有一些是有用的,其實全都可以刪,看個人愛好了,我就全刪,看到如果有新的就再刪。
3.如果就這么簡單就好了。這個時候會發現有個一直刪不去,一個在c:\winnt\system32\or.dll的檔案,這個就是這個病毒的總指揮所了。不知道為什麼,就是在安全模式下他也是刪不去的。
4.重起進入純dos環境,到c:winnt\system32目錄下輸入下面的命令(必須到這個目錄下喔)
del or.dll
md or.dll
5.最後就是這次防毒的關鍵和精髓了,再重起進到安全模式下,把剛才所有查到的病毒在原路徑都新建立一個同名資料夾,特別是or.dll,在dos下已經都建好了,分別點右鍵,在安全選項中全部都改成拒絕。這樣,病毒檔案就在同目錄下建立不成。在這裡也能看到幾個不知道名字的管理帳戶,注意每個帳戶都要設成拒絕訪問控制什麼的。改好後再把啟動項在上面的那個軟體中再清理幾次,就差不多了。
6.其他:由於被篡改了很多host檔案,所以要清除,建議用360安全衛士,在系統全面診斷中有很多被改的host 檔案都修復了,就差不多了。

手工清除Javqhc木馬方法

第一步:利用Wsyscheck火眼金睛識病毒
在幾乎所有的安全軟體癱瘓的時候,冷門軟體就可派上大用場。Wsyscheck是一款手動清理病毒木馬的工具,其目的是簡化病毒木馬的識別與清理工作,利用它你會看到病毒載入到每個進程里的模組,從而確定可以模組,c:\windows\system32\bpgwtjfxv.oct(有可能是隨機命名,擴展名應該還是.OCT)這個檔案幾乎載入到了每個進程里,這就說明了為什麼運行專殺工具會被刪除的原理。
第二步:手工配合WinPE刪除病毒
進入WinPE系統里,找到c:\windows\system32\bpgwtjfxv.oct並且刪除,然後手工建立一個bpgwtjfxv.oct的免疫目錄,在目錄里再新建一個以..結尾的目錄,讓病毒無法刪除這個免疫目錄,從新啟動系統。
第三步:徹底剿滅病毒
正常進入系統後,這時已經可以運行360,從新安裝360安全衛士查殺惡意軟體,修復被破壞的Hosts,並且利用Javqhc專殺工具清除的殘餘檔案。

相關詞條

熱門詞條

聯絡我們