威金病毒手动查杀

admin 2024年8月1日12:13:01评论11 views字数 3331阅读11分6秒阅读模式

前言

运行环境:windows2003

2006年一种国内常见的、令人厌恶的、臭名昭著的熊猫烧香的亲戚——威金病毒,该病毒集是文件型病毒、蠕虫病毒、病毒下载器于一身,传播能力非常强

威金蠕虫”是一个能在WIN9X/NT/2000/XP等系统上运行的蠕虫病毒,通过感染文件、局域网以及其他病毒下载传播。

该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒,窃取用户QQ及网络游戏的账号和密码并发送给黑客。

好,我们先运行一下威金病毒,运行之前,我们先看一下c盘

威金病毒手动查杀

        运行之后,c盘多了一个文件

威金病毒手动查杀

这个是威金病毒产生的autorun.inf文件,这个文件就是蠕虫文件,我们插上u盘之后,只要加载了u盘驱动,那么这个文件会自动调用,自动会将该文件和该文件中指定的一些病毒程序拷贝到u盘中,并且下次插入u盘的时候,通过相同的手段将病毒传播到电脑上,并且这个文件只要存在我们的c盘中,我们双击该盘符时,这个文件也会自动执行,我们打开这个文件看看内容:

威金病毒手动查杀

        这几行的意思是运行system32中的DLLHOST.exe文件这个文件就是病毒文件真正的攻击动作都是这个程序搞的

        并且我们在system32文件中看不到该文件,是隐藏的。

威金病毒手动查杀

并且他还会在c:windowssystem32目录下生成rundll132.exe文件,这也是病毒文件之一。我们怎么知道它生成了这样的文件呢,就对某台电脑进行监控,监控它的每个磁盘,当它中毒时,看它磁盘中的文件发生了哪些变动。

接下来我们来分析如何解决这个病毒,解决这个病毒之前,我们先重启一下这个虚拟机。重启之后再看c盘。

威金病毒手动查杀

        右键,多了个Auto

        查看进程:发现进程增加了一个DLLHOST.exe进程,说明病毒已运行:

威金病毒手动查杀

        该进程可以被结束,但是重启电脑之后,这个进程又回来了。

        那么我们如何杀掉它呢?

第一步:进入安全模式(这里我们没有进入)

正常来讲,应该重启系统,进入到安全模式下去进行病毒的查杀,因为有些病毒在自身程序运行的状态下是不能被删除的,或者它的程序文件不能被删除,而系统安全模式启动的话,只会加载运行系统所需的基本系统程序,病毒、木马、其他第三方软件程序都不会被运行,所以我们删除病毒就更方便一些,我们有其他的手段,所以就不用安全模式来搞了,那么如何进入安全模式呢,重启电脑按F8键就能进入安全模式,但是win10不是这么进入安全模式,大家可以自行百度一下。

威金病毒手动查杀

        启动了安全模式之后,还可以加载安全模式桌面。

威金病毒手动查杀

第二步:删除进程并查看系统配置

删除进程

如果你的电脑上看到了一个大写的一个小写的进程,那就都删掉,一般就只能看到一个大写的,删除即可。

威金病毒手动查杀

        开始--运行--输入msconfig 确认进入系统配置实用程序,找到启动选项

威金病毒手动查杀

关闭它的启动项:将DLLHOST启动项目取消勾选,点击应用,然后点击关闭,会提示你重启,我们稍后重启

威金病毒手动查杀

在上面系统配置的图中,我们看到,命令那一列中没有看到该启动项的程序绝对路径,这是因为病毒使用了windows系统环境变量路径来加载病毒的,只要在环境变量下面的程序都可以不用文件路径来启动。

查看环境变量:

威金病毒手动查杀

第三步:查找病毒注册表开机启动调用项

如何找注册表中的开机启动项所在位置,我们上节课已经告诉给大家了。然后经过查找,我们找到了下面这个注册表位置:

win+R --> regedit

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows 找到load字符串,直接删除、刷新注册表。这样启动项的病毒就会马上消失。

威金病毒手动查杀

        修改它,然后将字符串删除

威金病毒手动查杀

        删除之后就不会开启自启动DLLHOST.exe程序了

威金病毒手动查杀

查看启动项,如果发现它还是勾选了,那么再次取消勾选,点击应用之后点击关闭即可

威金病毒手动查杀

第四步:删除病毒源文件

1.删除DLLHOST.exe文件

我们通过上面的步骤发现,DLLHOST.exe是个隐藏文件,可以通过win+R --> cmd --> del /ah /f DLLHOST.exe 就可以删除隐藏DLLHOST.exe病毒,其中 /ah 是只删除所有隐藏文件的意思

威金病毒手动查杀

怎么办?我们可以去看一下是不是这个文件的进程处于运行状态,先将进程停止再手动删除,如果还是删除不了,那么打开xuetr工具删除顽固的隐藏文件,先标记一下阻止文件再生,然后点击强制删除。

威金病毒手动查杀

        镜像劫持:如果发现你的XueTr不好用了,那么很有可能是病毒将它禁用了,是因为镜像劫持,现在只需要将XueTr关闭然后将XueTr.exe的名称改一下

威金病毒手动查杀

        再双击打开,再强制删除即可。你会看到DLLHOST.exe上面还有一个dllhost.exe,小写字母的,也一并删掉。

威金病毒手动查杀

        这样就删掉了。如果删除之后我们在命令行又看到了

威金病毒手动查杀

那么和下面删除rundll32.exe文件一样,写个批处理的bat文件,同时删除这两个文件,其中有个文件可能提示你删不了,那就不用管它了。

        比如通过命令 dir /s rundll32.exe

威金病毒手动查杀

看到有如下两个文件,在两个不同的目录中,dllcache目录存放的是system32的备份文件,这是系统自我保护使用到的目录,由于system32目录下存放的多是系统运行需要的dll动态库文件,所以为了防止必要的dll文件丢失,会将system32下的文件全部备份一份到dllcache目录中,如果丢失了系统会自动去dllcache目录中拷贝一个回来

这也是病毒文件喜欢放到system32目录中的原因,不信大家删除一下system中的这个rundll32.exe文件试试效果:

删除 del rundll32.exe ,过一小会之后查看,又回来了

威金病毒手动查杀

        那么我们如果想同时删除这两个文件该怎么办,需要写一个脚本程序来同时执行两个目录的文件删除动作。如何来做,下面步骤中会有学习。

2.删除dllhost.exe文件

方式如下:

比如我们现在桌面创建一个1.txt文件,写上如下代码

cd c:windowssystem32dllcache
del dllhost.exe
del /ah /f dllhost.exe
cd c:windowssystem32
del rundll32.exe
del /ah /f dllhost.exe

删除dllhost.exe
cd c:windowssystem32dllcache
del dllhost.exe
del /ah /f dllhost.exe

cd c:windowssystem32
del dllhost.exe
del /ah /f dllhost.exe

        注意,下面里面的rundll32.exe改写为dllhost.exe

威金病毒手动查杀

        然后将文件改名为1.bat,.bat文件是windows运行指令的文件,然后将.bat文件拖动到cmd窗口

威金病毒手动查杀

        然后回车运行,就ok了。看到如下提示,点击取消

威金病毒手动查杀

        在看到如下提示,点击是

威金病毒手动查杀

        然后我们再搜索一下,就看不到该文件了

威金病毒手动查杀

第五步:删除相应盘符下的autorun.inf

删除相应盘符下的autorun.inf以防双击运行盘符再次调用病毒运行,不然我们重启电脑之后,会看到在盘符上点击右键时,看到一个auto选项

威金病毒手动查杀

        这个auto选项其实就是病毒的自行执行程序,我们直接双击磁盘就会触发这个auto动作,病毒还会再次被运行。

        所以我们通过右键->打开,来打开盘符,如下,右键打开和双击打开对操作系统来讲,它做的事情都是打开磁盘,但是启动的手段、方式不同,病毒的自动执行就和双击动作关联了。

威金病毒手动查杀

        找到文件删掉

威金病毒手动查杀

        然后清空回收站:

威金病毒手动查杀

        如果找不到这个文件,那么可能是隐藏的比较好,通过xuetr来删除即可。

第七步:重启电脑

重启电脑,威金病毒彻底删除完成。

后言

祝愿大家在网络安全领域越走越深,终能柳暗花明又一村!!

原文始发于微信公众号(安全君呀):病毒查杀 | 威金病毒手动查杀

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月1日12:13:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   威金病毒手动查杀https://cn-sec.com/archives/3021802.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息