1   1  /  1  页   跳转

关于pcieyo.exe病毒的处理方法

收藏
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2006-11-02 01:46 | 只看楼主 短消息 资料
字号: 1楼

关于pcieyo.exe病毒的处理方法

昨天晚上运行pcieyo.exe病毒,出现状况,杀毒软件和QQ自动退出,重启后进入桌面,无法显示桌面图标,D,E,F,G盘双击无法打,右键--打开,才能进入D,E,F.G盘中,在任务管理器中新建C\WINDOWS\Explorer.exe 提示没有权限.需要进入安全模式下修复.

更改了:

D:\Program Files\QQ\QQ.EXE

生成

C\WINDOWS\SYSTEM32\NET.EXE
C\WINDOWS\SYSTEM32\NET1.EXE
D:\Program Files\QQ\npkcrypt.sys 
C\WINDOWS\SYSTEM32\pcieyo.exe
C\WINDOWS\SYSTEM32\pcieyo.dll


使用IceSword结束进程pcieyo.exe,

运行SREng2,使用“启动项目”--注册表--选择要修改的项
Explorer.exe pcieyo.exe
,点“编辑”在“值”里删除pcieyo.exe


C\WINDOWS\SYSTEM32\pcieyo.exe
C\WINDOWS\SYSTEM32\pcieyo.dll
因pcieyo.exe隐藏性极高,需要用WINRAR查找.修复.

删除以下文件
C\WINDOWS\SYSTEM32\NET.EXE
C\WINDOWS\SYSTEM32\NET1.EXE
D:\Program Files\QQ\npkcrypt.sys 


把QQ重新安装一次.


运行后的SRENG日志
启动项
Explorer.exe pcieyo.exe

Autorun.inf
[D:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[E:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[F:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[G:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe


sxs.exe
参考BAOHE版主的贴子
http://forum.ikaka.com/topic.asp?board=28&artid=8173208


最后编辑2006-11-03 08:39:32.403000000
分享到:
gototop
 
红夜鬼1
头像
横据古稀狮
  • 帖子:8602
  • 注册: 2006-10-18
  • 来自:
发表于: 2006-11-02 02:44 | 短消息 资料
字号: 2楼

多谢版主,学习
gototop
 
scriptman
头像
社区嘉宾
  • 帖子:1315
  • 注册: 2006-03-18
  • 来自:
发表于: 2006-11-02 08:52 | 短消息 资料
字号: 3楼

C\WINDOWS\SYSTEM32\NET.EXE
C\WINDOWS\SYSTEM32\NET1.EXE
D:\Program Files\QQ\npkcrypt.sys
是病毒生成的?
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2006-11-02 12:34 | 只看楼主 短消息 资料
字号: 4楼

引用:
【scriptman的贴子】C\WINDOWS\SYSTEM32\NET.EXE
C\WINDOWS\SYSTEM32\NET1.EXE
D:\Program Files\QQ\npkcrypt.sys
是病毒生成的?
………………



很抱歉,这个是我的失误,病毒样本,我已交给了BAOHE版主,
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2006-11-02 12:36 | 只看楼主 短消息 资料
字号: 5楼

引用:
【秋日里的蓝天的贴子】昨天晚上运行pcieyo.exe病毒,出现状况,杀毒软件和QQ自动退出,重启后进入桌面,无法显示桌面图标,D,E,F,G盘双击无法打,右键--打开,才能进入D,E,F.G盘中,在任务管理器中新建C\WINDOWS\Explorer.exe 提示没有权限.需要进入安全模式下修复.

更改了:

D:\Program Files\QQ\QQ.EXE

生成

C\WINDOWS\SYSTEM32\NET.EXE
C\WINDOWS\SYSTEM32\NET1.EXE
D:\Program Files\QQ\npkcrypt.sys 
C\WINDOWS\SYSTEM32\pcieyo.exe
C\WINDOWS\SYSTEM32\pcieyo.dll


使用IceSword结束进程pcieyo.exe,

运行SREng2,使用“启动项目”--注册表--选择要修改的项
Explorer.exe pcieyo.exe
,点“编辑”在“值”里删除pcieyo.exe


C\WINDOWS\SYSTEM32\pcieyo.exe
C\WINDOWS\SYSTEM32\pcieyo.dll
因pcieyo.exe隐藏性极高,需要用WINRAR查找.修复.

删除以下文件
C\WINDOWS\SYSTEM32\NET.EXE
C\WINDOWS\SYSTEM32\NET1.EXE
D:\Program Files\QQ\npkcrypt.sys 


把QQ重新安装一次.


运行后的SRENG日志
启动项
Explorer.exe pcieyo.exe

Autorun.inf
[D:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[E:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[F:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[G:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe


sxs.exe
参考BAOHE版主的贴子
http://forum.ikaka.com/topic.asp?board=28&artid=8173208



………………



欢迎交流,并指出错误


病毒样本,已交给BAOHE版主,在贴子出现的问题,BAOHE版主会指出的,在此造成的失误向各位说声对不起。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-03 08:39 | 短消息 资料
字号: 6楼

引用:
【秋日里的蓝天的贴子】


欢迎交流,并指出错误


病毒样本,已交给BAOHE版主,在贴子出现的问题,BAOHE版主会指出的,在此造成的失误向各位说声对不起。

………………

这个木马有注册表监控能力。
删除其启动项之前,必须结束木马进程C:\windows\system32\pcieyo.exe。



要删除的文件:

C:\windows\system32\pcieyo.exe
C:\windows\system32\pcieyo.dll
C:\windows\system32\QQhx.dat
右键打开分区根目录,删除各硬盘分区根目录下的Autorun.inf和sxs.exe

————————
Program Files\QQ\npkcrypt.sys和QQ.EXE没有被木马改动

附件附件:

下载次数:144
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-3 8:39:32
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT