瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】pkeusvq.exe、ngpycxm.exe的简单解决方法

12   1  /  2  页   跳转

【原创】pkeusvq.exe、ngpycxm.exe的简单解决方法

收藏
昵称啊啊
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2007-05-25
  • 来自:
发表于: 2007-05-25 14:57 | 只看楼主 短消息 资料
字号: 1楼

【原创】pkeusvq.exe、ngpycxm.exe的简单解决方法

2007-5-23至2007年5月25日
小病毒,小智慧
--KALEQI
23日晚,家里AVAST杀毒软件查到毒,IE缓存文件里和SYSTERM32文件夹屡次查到病毒,但无法清除,由于时间太晚,没有做太多处理。
24日到公司,发现公司电脑出现和家里一样的情况,并且出现其他问题:一、点击电脑硬盘盘符会在新窗口打开;二、进程中出现pkeusvq.exe和ngpycxm.exe,终止后出现;三、启动项出现两个随机文件名的程序;四、360安全卫士无法正常使用;五、硬盘无法直接打开,需从地址栏中打开;六、进入安全模式死机。
网上搜索之后,没有发现相关病毒的报道,估计是个不出名的病毒,没有专杀工具,瑞星杀不到,毒霸也杀不到。
首先用SREng的智能扫描,浅显了扫了一下,注册表和服务项看得眼睛都花了,虽然看到一些不正常的,但想到这样改起来,估计要死了才知道怎么清楚病毒,于是,另外找方法。
由于白天上班,24日晚上9点开始收拾这两个不知名的玩意。
忽然感觉懒得写了,又没人给稿费。
写解决方法。
首先重新安装360安全卫士,安装晚上后直接运行,并且不要关闭。
在安全卫士里清除两未知启动项,在进程管理里,结束pkeusvq.exe、ngpycxm.exe。
在江民的官网上下载vikingkiller专杀工具,对全盘清理。
然后关闭专杀工具,关闭安全卫士。
采用你已装的杀毒软件的开机扫描再全盘杀一次,结束。
其实这两个病毒就是威金的变种,没什么了不起的,不知道瑞星和金山都搞不定。
结束,搁笔,希望对大家有些帮助。
另,有了解脱壳技术的兄弟,大家可以进一步探讨。
最后编辑2007-05-26 13:06:42
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-25 16:34 | 短消息 资料
字号: 2楼

【回复“昵称啊啊”的帖子】
你自己愿意怎么折腾,那是你自己的事。
但是,请不要在这里误导别人。
你说的那些,根本不能解决问题。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-25 16:43 | 短消息 资料
字号: 3楼

呵呵!!

我们可只看不敢乱说了。

以前一说就被楼主抱怨得可怜死了。
gototop
 
可拉可拉
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2007-05-26
  • 来自:
发表于: 2007-05-26 09:19 | 短消息 资料
字号: 4楼

我是这个方法的作者,因为开始没时间,就请朋友发的
也是抱着帮助大家的想法,结果又被说成误导
呵呵,想问下?
你试过我的方法没用?
或则你已经对这个病毒进行过分析?SREng的报告吗?
或则是你反汇编?脱壳成功?
呵呵,复杂的病毒并不非得十分复杂的技术来删除。
恰好相反,简单的病毒才可怕。
蠕虫复杂吗?
我的QQ:215592981
不怕大家骂。
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-26 11:10 | 短消息 资料
字号: 5楼

楼主的善心还是令人敬佩的。。
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-26 11:21 | 短消息 资料
字号: 6楼

在安全卫士里清除两未知启动项,在进程管理里,结束pkeusvq.exe、ngpycxm.exe。

这点你根本办不到,除非用工具把2个进程都挂起

或者用IS禁止线程创建

因为这2个进程是相守护的



还有,那2个不是威金,老掉呀的东西了

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5e46f4b4943b8b728ad4b271.html

早几星期就写分析了
gototop
 
xiaoyueIQ
头像
强壮不惑狮
  • 帖子:1076
  • 注册: 2006-11-11
  • 来自:蓝迪亚斯
发表于: 2007-05-26 11:39 | 短消息 资料
字号: 7楼

引用:
【孤独更可靠的贴子】在安全卫士里清除两未知启动项,在进程管理里,结束pkeusvq.exe、ngpycxm.exe。

这点你根本办不到,除非用工具把2个进程都挂起

或者用IS禁止线程创建

因为这2个进程是相守护的



还有,那2个不是威金,老掉呀的东西了

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5e46f4b4943b8b728ad4b271.html

早几星期就写分析了

………………



因为这2个进程是相守护的,,这句话是什么意思

还有你是怎么判断出来的,测试过了吗?
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-26 11:46 | 短消息 资料
字号: 8楼

当然测试过```

比较早的技术了```

典型的进程守护是:

病毒释放2个线程木马``,你当然没办法一口气把2个进程一下子都结束掉````

只要其中一个线程被结束了,那么另外一个就把被结束的恢复```

基本原理了``也有更高级了```
gototop
 
xiaoyueIQ
头像
强壮不惑狮
  • 帖子:1076
  • 注册: 2006-11-11
  • 来自:蓝迪亚斯
发表于: 2007-05-26 11:50 | 短消息 资料
字号: 9楼

进程守护

照这么说U盘里的病毒大部份都采用了这个方法吧

总是有一点不明白 要是把autorun.inf里的内容修改保存后

是不是就可以把进程保护破坏了!!
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-26 11:56 | 短消息 资料
字号: 10楼

引用:
【xiaoyueIQ的贴子】进程守护

照这么说U盘里的病毒大部份都采用了这个方法吧

总是有一点不明白 要是把autorun.inf里的内容修改保存后

是不是就可以把进程保护破坏了!!


………………


比较早的技术了,现在比较少用```(目标太大)``

修改autorun.inf内容?

干嘛要修改```直接删除不是更干净````

autorun.inf并不提供进程守护功能``

那是病毒的事`````
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT