dos清除windows密码命令_哪些文件会被dos病毒感染

dos清除windows密码命令_哪些文件会被dos病毒感染 今天,朋友叫我帮看看他的电脑,说是中了个比较NB的病毒,我颇感兴趣!因为好久没有遇到有挑战性的病毒了!今天又可以练练手了^_^打开他的电脑,并没有发现什么特别具有破坏力的现象。exe、com、src等等文件都没有被感染,GHOST备份文件也还在。仔细查看系统,归纳起来,中毒后主要呈现如下症状:1.杀毒软件被中止和禁止重新启用,系统垃圾清除类软件被禁止启用。中毒后注销重新进入系

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用
 

今天,朋友叫我帮看看他的电脑,说是中了个比较NB的病毒,我颇感兴趣!因为好久没有遇到有挑战性的病毒了!今天又可以练练手了^_^

打开他的电脑,并没有发现什么特别具有破坏力的现象。execomsrc等等文件都没有被感染,GHOST备份文件也还在。

仔细查看系统,归纳起来,中毒后主要呈现如下症状:

1.杀毒软件被中止和禁止重新启用,系统垃圾清除类软件被禁止启用。

中毒后注销重新进入系统或者重启进入系统,系统的日期被更改。如果系统上装的杀毒软件是KAV,则会出现KAV提示日期出错,软件没有激活。图1是在我系统上测试时的效果:

1

中毒后,测试系统中的杀毒软件KAV被终止掉,如果尝试重新启用KAV始出现如下(2)的提示:

2

果是刚被感染,表现是KAV提示连接服务器进程被终止。

系统垃圾清理类软件:

超级兔子软件和360安全卫士也无法使用,尝试打开也会出现上述类似情况,(3、图4)

3

4

不过,windows优化大师可以正常使用。

2. 进程列表中多出两个进程:iywdqdf.exedmecvcm.exe

3. 派生文件:在系统目录 windows/system32 下生成两个文件iywdqdf.exedmecvcm.exe

4. 系统的文件夹选项中文件的“显示/隐藏”项常置于隐藏属性,不可更改:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
  /Explorer/Advanced/Folder/Hidden/SHOWALL]
  “CheckedValue”=dword:00000000

5. 除系统所在盘外,所有盘符的根目录下生成autorun.inf文件和kocmbcd.exe文件。

6添加注册表使自己自启动:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run

iywdqdf.exe -> C:/WINDOWS/system32/iywdqdf.exe

HKLM/Software/Microsoft/Windows/CurrentVersion/Run

dmecvcm.exe -> C:/WINDOWS/system32/dmecvcm.exe

上述现象描述并不完整,可能还有另外的症状。

在我的测试中,没有发现更多的异常情况,CPU占用率和网络通信流量都还正常。首先尝试直接用任务管理器结束两个进程中的任何一个,过几秒钟又自动起动起来了,看来是双进程守护的。哈哈,想想也没这么容易就搞定的。不过,这也是老技术了,想不通病毒编写者也不隐藏一下进程或者做欺骗性的命名处理。那好说了,请老工具出场——Windows杀毒助手。

    打开Windows杀毒助手,看其中有这两个进程:(5

5

显然这两个进程分别调用c:/windows/system32/dmecvcm.exe c:/windows/system32/iywdqdf.exe 两个.exe文件。至于其调用的动态链接库文件我们就暂不用管它了,把病源干掉再说。为保险起见,我们再查看一下进程的关联端口,发现没有任何关联的端口。两个进程的内存占用率都在5.5 MB左右。好了,既然也没有自动联网,我真搞不懂这个病毒的目的何在了!不罗唆了,干掉要紧。在Windows杀毒助手的进程列表中选中上述两个进程,点击右键,使用“强制关闭进程[多个]OK,就这么简单,上述两个进程就真正结束掉了。

在做后续工作前,我必须强调一下:你千万不要直接双击盘符进入,也不要鼠标右击盘符选择“打开”进入。至于原因,都是因为存在的 autorun.inf文件的缘故。其实我们查看一下Autorun.inf文件就很容易理解其中的原因了:

[AutoRun]

open=kocmbcd.exe

shell/open=打开(&O)

shell/open/Command=kocmbcd.exe

shell/open/Default=1

shell/explore=资源管理器(&X)

shell/explore/Command=kocmbcd.exe

它将上述两种操作都重定向到运行kocmbcd.exe 文件了。那么怎么进入盘符目录才不会运行病毒体呢?最简单方法是在地址栏输入盘符进入,如C: 回车 进入。

OK,下面让我们来删除系统目录下的两个.exe文件。隐藏文件不可见怎么办?这里给出两个办法:

1.    编写注册表脚本导入。打开记事本,输入以下内容:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden]

“Text”=”@shell32.dll,-30499”

“Type”=”group”

“Bitmap”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00, 6f ,00, 6f ,00,74,/

00,25,00, 5c ,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c ,00,53,00,/

48,00,45,00, 4c ,00, 4c ,00,33,00,32,00,2e,00,64,00, 6c ,00, 6c ,00, 2c ,00,34,00,00,/

00

“HelpID”=”shell.hlp#51131”

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN]

“RegPath”=”Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced”

“Text”=”@shell32.dll,-30501”

“Type”=”radio”

“CheckedValue”=dword:00000002

“ValueName”=”Hidden”

“DefaultValue”=dword:00000002

“HKeyRoot”=dword:80000001

“HelpID”=”shell.hlp#51104”

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]

“RegPath”=”Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced”

“Text”=”@shell32.dll,-30500”

“Type”=”radio”

“CheckedValue”=dword:00000001

“ValueName”=”Hidden”

“DefaultValue”=dword:00000002

“HKeyRoot”=dword:80000001

“HelpID”=”shell.hlp#51105”

 

保存上述文件为 UnHidden.reg (文件名任意,后缀为.reg即可)。双击导入注册表。然后修改 工具->文件夹选项->查看->查看所有文件和文件夹 ,并且去掉“隐藏受保护的系统文件(推荐)”前的勾。现在,可以进入系统目录c:/windows/system32/ 下,直接删除iywdqdf.exedmecvcm.exe 文件了。

2.    在命令行模式下删除文件。你可以直接用

del /A attrib iywdqdf.exe -h -s r

del /A attrib dmecvcm.exe -h -s r

命令删除,也可以在用attrib 命令更改文件属性后在图形界面下将其删除。

结束了病毒进程,删除了直接的“病毒体”,用同样的方法,接着我们来处理病毒源。根据经验,显然 kocmbcd.exe 文件应该就是真正的病毒体。从去年(06年)六月以来流行的多种病毒,如roseRavMonfun.xls以及熊猫烧香等一系列病毒都是利用autorun.inf来进行病毒感染与传播。不过,这个kocmbcd.exe的病毒作者有一点点改进,那就是由于他改进了autorun.inf的缘故,即使用户使用右击打开盘符的方式仍然会中毒。kocmbcd.exe文件信息如图6所示:

6

该文件的大小固定为37.8KB,修改日期为1987528日,属性为隐藏,系统。

我们来试试能不能直接删掉——哈,居然直接就可以删除!(再次提醒你,一定要以正确的方式进入盘符目录或者再命令行下操作,因为这是成功清除病毒的前提。)

好了,病毒体都删掉了。在windows配置实用程序(运行中输入msconfig进入)中去掉iywdqdf.exe dmecvcm.exe 项前的勾:(图7

7

剩下的就是如何使KAV等病毒软件与超级兔子等垃圾清理软件正常工作,以及注册表垃圾清理的事情了。

重新启动电脑后,试图打开KAV,出现现象1的情况。尝试了修复安装和完全卸载重新安装两种方式,仍然出现现象1的情况。看来是注册表的问题了,由于时间关系我没有对注册表进行对比分析,在这里只是把解决的方法拿出来。

既然我们猜到是注册表的问题了,我先从超级兔子入手。兔子正常工作了,我就注册表清理的工作就交给它了。

方法很简单——找到超级兔子的安装目录,更改运行主文件:(8)

8

 现在双击 MagicSet2.exe试试,是不是兔子又正常运行起来了?^_^

使用兔子的注册表清理功能,选中“扫描错误的类”,然后清理。完毕后将兔子名字改回去,是不是也能正常运行了?再试试KAV360安全卫士,是不是都正常工作了?

OK,到这里病毒处理工作也就差不多完成了。我的邮箱是computer.wei@gmail.com .还有就是本文只是对该病毒的一个表层现象与处理的描述,没有深入到具体的编程实现细节,只是想起到一个抛砖引玉的作用,希望有更多病毒研究方面的爱好者对它的机理作进一步的剖析。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/186313.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • java 文件上传到服务器_Java上传文件到服务器端的方法「建议收藏」

    java 文件上传到服务器_Java上传文件到服务器端的方法「建议收藏」Web文件上传采用POST的方式,与POST提交表单不同的是,上传文件需要设置FORM的enctype属性为multipart/form-data.由于上传的文件会比较大,因此需要设置该参数指定浏览器使用二进制上传。如果不设置,enctype属性默认为application/x-www-form-urlencoded,使用浏览器将使用ASCII向服务器发送数据,导致发送文件失败。上传文件要使用文件…

  • java课程设计-多人聊天工具(socket+多线程)

    大一下学期的java期末课程设计,分享一下文章目录课设要求相关知识点类图项目框架核心代码1.服务器端Server.java课设要求多人聊天工具服务器要求1:能够看到所有在线用户(25%)服务器要求2:能够强制用户下线(25%)客户端要求1:能够看到所有在线用户(25%)客户端要求2:能够向某个用户发送消息(25%)相关知识点1.服务端能够看到所有在线用户服务端继承了JFrame,实现可视化,通过socket实现服务端与客户端的连接,服务端每接收一个连接,把传进来的用户名和对应的s.

  • PKI体系标准_三体系

    PKI体系标准_三体系转自CSDN.在PKI体系中涉及到四类标准,下面做个简单介绍。1.asn.1基本编码规范Asn.1是描述在网络上传输信息格式的标准方法。它有两个部分:第一部分(X.208)描述信息内的数据、数据类型及序列格式,也就是数据的语法;第二部分(X.209)描述如何将各部分数据组成消息,也就是数据的基本编码规则(DER编码)。Asn.1原来是作为X.409的一部分而开发的,后来独立发展

  • Java Web显示用户上次访问时间(实例一)

    Java Web显示用户上次访问时间(实例一)**利用Cookie技术实现显示用户上次访问的功能**importjava.io.IOException;importjava.text.SimpleDateFormat;importjava.util.Date;importjavax.servlet.ServletException;importjavax.servlet.http.C…

  • android短信验证码方案,Android开发之属于你的短信验证码(一)

    android短信验证码方案,Android开发之属于你的短信验证码(一)不飞则已,一飞冲天;不鸣则已,一鸣惊人———司马迁最近工作又有新需求,要求用户在注册的时候需要通过手机验证码,这样做的目的是防止用户通过一个邮箱来随便的注册,那么好,今天我们就一起来学习一下Android中的短信验证码这一个知识点。如有谬误,欢迎批评指正,如有疑问欢迎留言,谢谢在说这个知识点前,我们首先来了解下聚合数据一、聚合数据介绍聚合数据是一家国内最大的基础数据API提供商,专业…

  • win10双系统重装ubuntu_双系统win10无法启动

    win10双系统重装ubuntu_双系统win10无法启动    这两天笔者安装win10+ubuntu16.04双系统,因为网络上能找到大量的资料,安装过程此处就不多讲。因为笔者电脑是华硕主板,bios默认设置为安全启动,笔者猜测会阻止加载ubuntu引导,导致双系统不能随意引导。先不管那么多,现在的问题是Ubuntu已经安装成功,开机直接进入win10,所以笔者的

    2022年10月21日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号