바이러스 지문:SHA-160 : DA14DDB10D14C568B62176AAB738B0C479A06863 MD5 : C505733FFDDA0394D404BD5BB652C1A6 RIPEMD-160 : 410EF9736AD4966094C096E57B477B7572B7ED9C CRC-32 : FF6E 4568 바이러스 크기:43,900 바이트 연결 네트워크 다운로드 바이러스:입력 주소:61.152.255.252 대응 주소:상해 시 전신 IDC 는 본 컴퓨터 에서 다음 과 같은 바이러스 파일 을 무 작위 로 생 성 합 니 다.meex.com,rmwaccq.exe,wojhadp.exe,nqgphqd.exe,autorun.inf 는 다음 과 같은 파일 을 다운로드 하여 실행 합 니 다.1A 11.exe,2B12.exe,3c13.exe,2B12.exe 는 무 작위 로 hiv 파일 을 생 성하 여 프로 세 스 상호 파괴 안전 모드 를 수행 합 니 다.Upack:00408184 s_SystemControl db 'SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}',0 .Upack:00408184 ; DATA XREF: sub_407CF4+6B o .Upack:004081D9 align 4 .Upack:004081DC s_T db 0FFh,0FFh,0FFh,0FFh,'T',0 .Upack:004081E2 align 4 .Upack:004081E4 s_SystemContr_0 db 'SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}',0 .Upack:004081E4 ; DATA XREF: sub_407CF4+7A o .Upack:00408239 align 4 .Upack:0040823C s_X db 0FFh,0FFh,0FFh,0FFh,'X',0 .Upack:00408242 align 4 .Upack:00408244 s_SystemCurrent db 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}',0 .Upack:00408244 ; DATA XREF: sub_407CF4+89 o .Upack:0040829D align 10h .Upack:004082A0 s_X_0 db 0FFh,0FFh,0FFh,0FFh,'X',0 .Upack:004082A6 align 4 .Upack:004082A8 s_SystemCurre_0 db 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}',0 .Upack:004082A8 ; DATA XREF: sub_407CF4+98 o .Upack:00408301 align 4 .Upack:00408304 dd 0FFFFFFFFh, 0Ch 파괴 숨 김 파일 옵션:.Upack:0040830C s_Checkedvalue db 'CheckedValue',0 ; DATA XREF: sub_407CF4+A7 o .Upack:00408319 align 4 .Upack:0040831C s_Q db 0FFh,0FFh,0FFh,0FFh,'Q',0 .Upack:00408322 align 4 .Upack:00408324 s_SoftwareMicro db 'software\\microsoft\\windows\currentversion\\explorer\\advanced\\folder\\hidden\\showall',0 자동 재생 을 엽 니 다.Upack:00408524 s_SoftwareMic_4 db 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer',0 .Upack:00408524 ; DATA XREF: sub_407CF4+201 o .Upack:00408560 ; char s_Nodrivetypeau[] .Upack:00408560 s_Nodrivetypeau db 'NoDriveTypeAutoRun',0 ; DATA XREF: sub_407CF4+21A o AVP,wuauserv,wcsvc',RsRavMon,RsCCenter,RSPPSYS 서 비 스 를 닫 고 사용 하지 않 습 니 다.Upack:004085 CC ; char s_SystemCurre_5[] .Upack:00408600 s_SystemCurre_6 db 'SYSTEM\CurrentControlSet\Services\RSPPSYS',0 .Upack:00408600 ; DATA XREF: sub_407CF4+2D9 o .Upack:0040862A align 4 .Upack:0040862C ; char s_SystemCurre_7[] .Upack:0040862C s_SystemCurre_7 db 'SYSTEM\CurrentControlSet\Services\RsCCenter',0 .Upack:0040862C ; DATA XREF: sub_407CF4+30F o .Upack:00408658 ; char s_SystemContr_1[] .Upack:00408658 s_SystemContr_1 db 'SYSTEM\ControlSet001\Services\RsCCenter',0 .Upack:00408658 ; DATA XREF: sub_407CF4+345 o .Upack:00408680 ; char s_SystemContr_2[] .Upack:00408680 s_SystemContr_2 db 'SYSTEM\ControlSet001\Services\RsRavMon',0 .Upack:00408680 ; DATA XREF: sub_407CF4+37B o .Upack:004086A7 align 4 .Upack:004086A8 ; char s_SystemContr_5[] .Upack:004086A8 s_SystemContr_5 db 'SYSTEM\ControlSet001\Services\wscsvc',0 .Upack:004086A8 ; DATA XREF: sub_407CF4+3B1 o .Upack:004086CD align 10h .Upack:004086D0 ; char s_SystemContr_3[] .Upack:004086D0 s_SystemContr_3 db 'SYSTEM\ControlSet001\Services\wuauserv',0 .Upack:004086D0 ; DATA XREF: sub_407CF4+3E7 o .Upack:004086F7 align 4 .Upack:004086F8 ; char s_SystemContr_4[] .Upack:004086F8 s_SystemContr_4 db 'SYSTEM\ControlSet002\Services\AVP',0 .Upack:004086F8 ; DATA XREF: sub_407CF4+41D o
N 다 중 보안 도구,시스템 프로그램 및 백신 소프트웨어 이미지 납치(IFEO)
너무 많 으 면 열거 하지 않 기 때문에 이전의 바이러스 샘플 납치 와 마찬가지 로 구체 적 으로 친구
코사인 함수의 글 을 참조 할 수 있 습 니 다.
해결 방법
procexp.exe 를 사용 하여 바이러스 두 프로 세 스 를 일시 정지 합 니 다."system 32"를 입력 한 후 시간 에 따라 아이콘 을 배열 하여 바이러스 파일 을 찾 은 후 삭제 합 니 다.
이름 바 꾸 기 autoruns 찾 은 이미지 납치 항목 을 열 고 이미지 파일 만 유지 합 니 다 Name 여기 path 항목 이 없 으 면 모두 삭 제 됩 니 다.
acdsee 를 열 어 모든 디스크 에 있 는 바이러스 파일 과 autorun.inf 스 크 립 트 를 삭제 합 니 다.오른쪽 키 의 열기 와 자원 관리 자 를 사용 하지 마 십시오.
[AutoRun]open=nqgphqd.exeshell\\open=open(&O)shell\open\\Command=nqgphqd.exeshell\open\\Default=1shell\\explore=자원 관리자(&X)shell\explore\\Command=nqgphqd.exe
보안 모드 와 숨겨 진 파일 을 복구 하 는 레 지 스 트 는 다음 과 같 습 니 다.(다음 파일 을 reg 파일 로 저장 하고 레 지 스 트 를 가 져 오 려 면 두 번 누 르 십시오)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]@="DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Type"="radio""CheckedValue"=dword:00000001
바 이러 스 는 바이러스 가 생 성 한 파일 이름 이 무 작위 이 고 프로 세 스 식별 자(PID)도 무 작위 로 변 하기 때문에 해결 방법 을 스티커 로 만 쓸 수 있 습 니 다.
