家园首页 Php4手册 我的相册 家园下载 个人文集 给我留言
我形我塑,网络相册,www.5x54.com 相册 相册 心情相册,少女相册 免费申请,我形我塑免费相册
 家园 个人文集   http://www.5x54.com
 


手动解决ARP攻击主机中的rujrmue.exe和pumthsg.exe

作者:疯狂的网络    点击: 读取中...

ARP攻击主机木马介绍: (%$$#^44667*&%2)我型我塑www.5x54.com
  1、该木马通过U盘或者互联网传染(%$$#^44667*&%2)我型我塑www.5x54.com,U盘和计算机可交叉感染! (%$$#^44667*&%2)我型我塑www.5x54.com
  2、系统进程多了一个进程:rujrmue.exe、pumthsg.exe进程(%$$#^44667*&%2)我型我塑www.5x54.com,无法结束 (%$$#^44667*&%2)我型我塑www.5x54.com,启动项去掉重启后自动开启 (%$$#^44667*&%2)我型我塑www.5x54.com
  3、基本上目前常见的杀软、专杀、清理软件都会被劫持或者无法安装 (%$$#^44667*&%2)我型我塑www.5x54.com
   (%$$#^44667*&%2)我型我塑www.5x54.com
  4、系统无法进入安全模式(%$$#^44667*&%2)我型我塑www.5x54.com,启动到安全模式蓝屏。 (%$$#^44667*&%2)我型我塑www.5x54.com
   (%$$#^44667*&%2)我型我塑www.5x54.com
  5、木马不停自检文件(%$$#^44667*&%2)我型我塑www.5x54.com,所以木马运行时候删除部分文件之后会被恢复。 (%$$#^44667*&%2)我型我塑www.5x54.com
   (%$$#^44667*&%2)我型我塑www.5x54.com
  6、格式化系统盘重新装系统(%$$#^44667*&%2)我型我塑www.5x54.com,系统扩展分区里木马文件未清除(%$$#^44667*&%2)我型我塑www.5x54.com,导致全盘感染! (%$$#^44667*&%2)我型我塑www.5x54.com
  7、目前虽然该木马在计算机发作初期可以被杀软拦截(%$$#^44667*&%2)我型我塑www.5x54.com,但木马很快建立多个程序、修改时间等(%$$#^44667*&%2)我型我塑www.5x54.com,导致杀软等监软件被自动关闭。 (%$$#^44667*&%2)我型我塑www.5x54.com
   (%$$#^44667*&%2)我型我塑www.5x54.com
  8、被感染的电脑无论是正常或者安全模式双击或者右键打开桌面图标、双击或者右键打开硬盘可能也会启动该木马程序。 (%$$#^44667*&%2)我型我塑www.5x54.com
  9、访问电脑中放有卡巴、360和瑞星等杀毒软件的文件夹(%$$#^44667*&%2)我型我塑www.5x54.com,则自动关闭;访问卡巴斯基、360等安全网站(%$$#^44667*&%2)我型我塑www.5x54.com,IE则自动关闭(%$$#^44667*&%2)我型我塑www.5x54.com,禁止访问。 (%$$#^44667*&%2)我型我塑www.5x54.com
   (%$$#^44667*&%2)我型我塑www.5x54.com
木马发作过程及文件分析: (%$$#^44667*&%2)我型我塑www.5x54.com
   (%$$#^44667*&%2)我型我塑www.5x54.com
  1.添加如下启动项目: (%$$#^44667*&%2)我型我塑www.5x54.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rujrmue.exe (%$$#^44667*&%2)我型我塑www.5x54.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pumthsg.exe (%$$#^44667*&%2)我型我塑www.5x54.com
          (%$$#^44667*&%2)我型我塑www.5x54.com
  2. 添加进程:rujrmue.exe和pumtthsg.exe(任务管理器可以看到) (%$$#^44667*&%2)我型我塑www.5x54.com
     (%$$#^44667*&%2)我型我塑www.5x54.com
  3.创建注册表项目:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Files Exection(%$$#^44667*&%2)我型我塑www.5x54.com,Image Files Exection该项目用来劫持目前常见杀软、专杀和清理软件。 (%$$#^44667*&%2)我型我塑www.5x54.com
   (%$$#^44667*&%2)我型我塑www.5x54.com
  4.在系统扩展分区(非操作系统分区)下面创建:autorun.inf,yeyinhi.exe. (%$$#^44667*&%2)我型我塑www.5x54.com
   (%$$#^44667*&%2)我型我塑www.5x54.com
  5.在系统盘目录下面:X:\Program Files创建heex.exe,ykubdte.inf. (%$$#^44667*&%2)我型我塑www.5x54.com
           X:\Program Files\Common Files\System创建rujrmue.exe (%$$#^44667*&%2)我型我塑www.5x54.com
           X:\Program Files\Common Files\Microsoft Share创建pumthsg.exe (%$$#^44667*&%2)我型我塑www.5x54.com
  这两个文件夹无法打开(%$$#^44667*&%2)我型我塑www.5x54.com,打开后自动关闭。 (%$$#^44667*&%2)我型我塑www.5x54.com
  6.在C:\WINDOWS\system32下创建了15.dll和20.dll。 (%$$#^44667*&%2)我型我塑www.5x54.com
  注意:本机的该木马只生成上面的文件(%$$#^44667*&%2)我型我塑www.5x54.com,不排除该木马或者其变种生成的文件不同或更多。本方法仅供参考! (%$$#^44667*&%2)我型我塑www.5x54.com
  手动删除方法:(清理过程断网、不要插U盘(%$$#^44667*&%2)我型我塑www.5x54.com,以免交叉感染!) (%$$#^44667*&%2)我型我塑www.5x54.com
  1.在正常模式下无法清理的(%$$#^44667*&%2)我型我塑www.5x54.com,安全模式进入时蓝屏(%$$#^44667*&%2)我型我塑www.5x54.com,所以首先要修复安全模式。 (%$$#^44667*&%2)我型我塑www.5x54.com
安全模式修复文件: (%$$#^44667*&%2)我型我塑www.5x54.com
UploadFiles/2007-6/38200.72298959.rar (%$$#^44667*&%2)我型我塑www.5x54.com
双击解压出来的文件导入到注册表(%$$#^44667*&%2)我型我塑www.5x54.com,安全模式修复了(%$$#^44667*&%2)我型我塑www.5x54.com,现在重启电脑到安全模式。 (%$$#^44667*&%2)我型我塑www.5x54.com
  2.修复显示所有文件(%$$#^44667*&%2)我型我塑www.5x54.com,中木马电脑即使设置显示所有文件后还会自动还原回不显示隐藏双击(%$$#^44667*&%2)我型我塑www.5x54.com,所以需要修复。 (%$$#^44667*&%2)我型我塑www.5x54.com
修复_显示所有文件: (%$$#^44667*&%2)我型我塑www.5x54.com
UploadFiles/2007-6/38302.88359274.rar (%$$#^44667*&%2)我型我塑www.5x54.com
解压的文件用来修复显示所有文件显示所有文件和文件夹(%$$#^44667*&%2)我型我塑www.5x54.com,将隐藏受保护的操作系统文件前面的勾都不要。 (%$$#^44667*&%2)我型我塑www.5x54.com
  3.由于木马程序已经关联各分区盘符以及常见杀软、专杀和清理软件的主程序和桌面快捷方式等(%$$#^44667*&%2)我型我塑www.5x54.com,所以在清理时候有讲究的:在点我的电脑不要双击或者右键打开(%$$#^44667*&%2)我型我塑www.5x54.com,注意要右键资源管理器打开或者在桌面新建一个压缩文档(%$$#^44667*&%2)我型我塑www.5x54.com,打开压缩文档(%$$#^44667*&%2)我型我塑www.5x54.com,在压缩文档中浏览到木马创建的exe文件所在的文件夹(%$$#^44667*&%2)我型我塑www.5x54.com,将木马文件删除(%$$#^44667*&%2)我型我塑www.5x54.com,也可以利用系统搜索功能搜索木马文件进行删除。(这里的方法也是一种途径(%$$#^44667*&%2)我型我塑www.5x54.com,具体问题仍需具体分析。) (%$$#^44667*&%2)我型我塑www.5x54.com
  4.开始>>运行>>输入regedit,确认. (%$$#^44667*&%2)我型我塑www.5x54.com
  浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(%$$#^44667*&%2)我型我塑www.5x54.com,双击打开RUN将里面rujrmue.exe和pumthsg.exe删除。 (%$$#^44667*&%2)我型我塑www.5x54.com
  5.然后浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion(%$$#^44667*&%2)我型我塑www.5x54.com,展开CurrentVersion找到Image Files Exection将这个文件删除。 (%$$#^44667*&%2)我型我塑www.5x54.com
  6.经过这一系列的删除之后你系统基本上可以正常工作了(%$$#^44667*&%2)我型我塑www.5x54.com,由于这个木马可能回携带其他的一个盗号木马、破坏一些文件(%$$#^44667*&%2)我型我塑www.5x54.com,所以重启之后要修复一些文件(%$$#^44667*&%2)我型我塑www.5x54.com,使用杀软和清理软件对全盘进行查杀! (%$$#^44667*&%2)我型我塑www.5x54.com
  注意:安全模式清理系统时候不要乱点图标和快捷方式(%$$#^44667*&%2)我型我塑www.5x54.com,清理电脑完成清理U盘的时候采用相同的打开方法删除文件。一定要注意使用360安全卫士的修复漏洞功能将U盘的自动运行去掉(%$$#^44667*&%2)我型我塑www.5x54.com,或者按住SHIFT键再插入U盘(%$$#^44667*&%2)我型我塑www.5x54.com,避免U盘自动运行造成木马复活。

收藏此文章     打印  更新     编辑此文章    『关闭窗口』