当前位置:首页 > 首页 > 水牛(shuiniu.exe)手工查杀方法不用专杀工具 文章详情
    这是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其发现和删除更加困难,因其主文件名“ShuiNiu.exe”,因此称病毒为“水牛”病毒。


    Quote:
    File: ShuiNiu.exe
    Size: 22069 bytes
    Modified: 2007年11月5日, 10:13:38
    MD5: 1FA97A5E1766D6E668321838A6F3E536
    SHA1: 94388083FB1CDD3003FE13046BC817AB0F6D7FD0
    CRC32: 1D66BFAB


    技术细节:

    1.病毒运行后,释放如下副本:
    %systemroot%\system32\ShuiNiu.exe

    并向可移动存储中写入ShuiNiu.exe和autorun.inf达到通过U盘等移动存储传播的目的

    2.调用Cmd,把系统时间改为2005-10-31

    3.删除如下键
    SYSTEM\CurrentControlSet\Control\SafeBoot\MinimalSYSTEM\ControlSet001\Control\SafeBoot\NetworkSYSTEM\ControlSet001\Control\SafeBoot\Minimal\


    破坏安全模式

    4.添加映像劫持项目劫持一些安全软件到

    %systemroot%\system32\ShuiNiu.exe


    Code:
    360rpt.exe
    360Safe.exe
    360tray.exe
    adam.exe
    AgentSvr.exe
    AppSvc32.exe
    autoruns.exe
    avgrssvc.exe
    AvMonitor.exe
    avp.com
    avp.exe
    CCenter.exe
    ccSvcHst.exe
    FileDsty.exe
    FTCleanerShell.exe
    HijackThis.exe
    IceSword.exe
    iparmo.exe
    Iparmor.exe
    isPwdSvc.exe
    kabaload.exe
    KaScrScn.SCR
    KASMain.exe
    KASTask.exe
    KAV32.exe
    KAVDX.exe
    KAVPFW.exe
    KAVSetup.exe
    KAVStart.exe
    KISLnchr.exe
    KMailMon.exe
    KMFilter.exe
    KPFW32.exeKPFW32X.exe
    KPFWSvc.exe
    KRegEx.exe
    KRepair.COM
    KsLoader.exe
    KVCenter.kxp
    KvDetect.exe
    KvfwMcl.exe
    KVMonXP.kxp
    KVMonXP_1.kxp
    kvol.exe
    kvolself.exe
    KvReport.kxp
    KVScan.kxp
    KVSrvXP.exe
    KVStub.kxp
    kvupload.exe
    kvwsc.exe
    KvXP.kxp
    KvXP_1.kxp
    KWatch.exe
    KWatch9x.exe
    KWatchX.exe
    loaddll.exe
    MagicSet.exe
    mcconsol.exe
    mmqczj.exe
    mmsk.exe
    NAVSetup.exe
    nod32krn.exe
    nod32kui.exe
    PFW.exe
    PFWLiveUpdate.exe
    QHSET.exe
    Ras.exe
    Rav.exe
    RavMon.exe
    RavMonD.exe
    RavStub.exe
    RavTask.exe
    RegClean.exe
    rfwcfg.exe
    RfwMain.exe
    rfwProxy.exe
    rfwsrv.exe
    RsAgent.exe
    Rsaupd.exe
    runiep.exe
    safelive.exe
    scan32.exe
    shcfg32.exe
    SmartUp.exe
    SREng.exe
    symlcsvc.exe
    SysSafe.exe
    TrojanDetector.exe
    Trojanwall.exe
    TrojDie.kxp
    UIHost.exe
    UmxAgent.exe
    UmxAttachment.exe
    UmxCfg.exe
    UmxFwHlp.exe
    UmxPol.exe
    UpLive.exe
    WoptiClean.exe


    5.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    下面添加

    <DsNiu><%systemroot%\system32\ShuiNiu.exe> []

    的启动项目达到开机启动的目的

    6.启动IE下载
    http://www.huigui.org/UpFile/UpFace/bak.exe

    但连接已失效

    7.病毒运行后释放~DsNiu!.bat 删除自身

    8.之后的动作也是病毒比较毒辣的一点,当完成上述这些动作后,病毒会启动两个svchost.exe,并将自身的病毒代码写入这两个svchost.exe进程之中,之后ShuiNiu.exe退出进程。
    这两个svchost.exe会互相监视对方,且此时的ShuiNiu.exe也无法删除 ...

    9.病毒体内有文字“FUCK YOU”


      手动解决办法:


    下载sreng和Xdelbox


      1.解压Xdelbox压缩包内所有文件到一个文件夹,在 添加旁边的框中 分别输入c:\windows\system32\ShuiNiu.exe


      输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中,然后一次性选中 (按住ctrl)下面大框中所有的文件,右键 单击 点击 重启立即删除


      2.重启后,打开sreng 

      启动项目 注册表 删除如下项目 
      <DsNiu><%systemroot%\system32\ShuiNiu.exe> []

      并删除所有红色的IFEO劫持项目

      还是sreng中,系统修复-高级修复-修复安全模式

      3.最后把系统时间改正确

    以上就是【水牛(shuiniu.exe)手工查杀方法不用专杀工具】的全部内容了,欢迎留言评论进行交流!

    赞(0) 踩(0)

    与本文相关的软件

    发表我的评论

    最新评论

    1. 暂无评论