感染explorer.exe,使用映像劫持,ShellExecHook…的AV杀手GRHSGIH.EXE2

最新推荐文章于 2021-03-10 00:01:56 发布
最新推荐文章于 2021-03-10 00:01:56 发布 · 168 阅读 · 0

本文介绍了一种名为GRHSGIH.EXE的AV杀手,它使用多种技术如映像劫持来感染系统,并禁止复制/粘贴功能。文章详细记录了使用DrWebCureIt!等工具进行清理的过程。

感染explorer.exe,使用映像劫持,ShellExecHook…的AV杀手GRHSGIH.EXE2

endurer 原创
2008-01-20 第1

从pe_xscan 的 log上看,这个AV杀手使用的招术与

使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等1
http://blog.youkuaiyun.com/Purpleendurer/archive/2008/01/07/2029442.aspx
http://endurer.bokee.com/6595295.html
http://blog.nnsky.com/blog_view_266928.html
http://blog.sina.com.cn/s/blog_49926d910100859d.html

相似,不过多了两招:

禁止复制/粘贴
感染explorer.exe

先下载 对付感染型的恶意程序一向表现不错的 DrWeb CureIt! 备用,到 http://endurer.ys168.com 下载 IceSword,HijackThis,到 http://endurer.ys168.com 下载 FileInfo 和 bat_do,然后断开网线。
打开注册表编辑器 regedit.exe,删除 O23、O24、O26 对应的项目。
运行IceSowrd,也被恶意程序模拟按键关闭了。
运行HijackThis,打开内置的进程管理工具终止恶意程序进程,不过终止后又重生了。
于是用 HijackThis 先修复 F1、F2、O1、O2、O4 项。

用FileInfo提取log中红色显示的文件的信息,然后把这些文件加入bat_do,打包备份后,延时删除~

运行 DrWeb CureIt! 扫描,首先提示 explorer.exe 被感染,选择了修复操作……后来DrWeb CureIt!也被病毒进程关闭了~再次运行 DrWeb CureIt!, 扫描了一会又被关闭了……
还是先清空IE临时缓存,系统临时文件夹,重启电脑罢……
先尝试进入安全模式,结果蓝屏出错,还是以一般模式启动。
金山毒霸监控中心图标又在系统托盘区出现了,复制/粘贴也恢复正常了~

再次运行 DrWeb CureIt! 扫描,又扫出一些……没等扫描完成,上班时间就到了~

后来朋友通过QQ说DrWeb CureIt! 扫描/修复出了2000多个……

让网友用IceSword检查 log 中的红色显示的文件,有则强制删除,然后用:sfc /scannow 命令检修系统文件……

iteye_6637
关注
57、RapidJson存储Base64数据和空间释放
sxj731533730
10-27 9万+
基本思想:随手记录一下rapidJson的存储字符串和空间释放 CMakeLists.txt cmake_minimum_required(VERSION 3.16) project(untitled2) set(CMAKE_CXX_STANDARD 14) include_directories(${CMAKE_SOURCE_DIR}/include) find_package(OpenCV REQUIRED) add_executable(untitled2 main.cpp Base64.cp
二进制与base64
wa1tzy的博客
03-29 1万+
二进制与base64 函数使用 def base64_to_image(base64_code): img_data = base64.b64decode(base64_code) img_array = numpy.fromstring(img_data, numpy.uint8) image_base64_dec = cv2.imdecode(img_array, cv2.COLOR_RGB2BGR) return image_base64_dec def image_
explorer.exe病毒专杀,修复工具 绿色版
10-22
explorer.exe病毒专杀,修复33
Explorer内存感染
04-26 1682
作者:GriYo / 29A翻译:pker / CVC翻译小组介绍在Win32环境下使我们的病毒在运行结束后仍然驻留内存是一件很不容易的事。病毒保留的内存会随着被感染程序的结束而消失。即使是每进程驻留病毒(per-process viruses),也只是在感染例程没有结束时才能存在于内存中。为了在Win32环境下获得完全的驻留,我们可以考虑如下实现:  - 我们可以在我们的病毒中加入可以把自己的病
感染explorer.exe,使用映像劫持,ShellExecHook…的AV杀手GRHSGIH.EXE1
Purpleendurer@优快云
01-18 1万+
感染explorer.exe,使用映像劫持,ShellExecHook…的AV杀手GRHSGIH.EXE1endurer 原创2008-01-18 第1版刚才一位朋友打电话来求助,说他电脑中了病毒,金山毒霸无法启动,无法复制/粘贴……赶到朋友家,下载 pe_xscan 扫描 log 发现如下可疑项(进程模块部分有省略):/===pe_xscan 08-01-10 by Purp
修复explorer.exe
09-08
内含批处理文件,可以修复explorer.exe进程出错桌面不能显示的问题,超好用。
XP系统文件:explorer.exe下载!
01-22
XP系统开机后桌面图标、任务栏不能显示,鼠标右键没反应,应该就是缺少系统文件explorer.exe!下载后直接解压出来,把里面的explorer.exe文件剪切到C:\Windows目录下,打开任务管理器(Ctrl+Alt+Del)-文件-新建任务...
Explorer.exe全版本.zip
10-12
"Explorer.exe"是Windows操作系统中的一个关键进程,它被称为资源管理器,负责用户界面的管理和交互。这个压缩包“Explorer.exe全版本.zip”可能包含了不同Windows版本下的Explorer.exe文件,这些文件反映了该程序在...
windows10的explorer.exe系统文件包
最新发布
03-06
explorer.exe
重启资源管理器=结束资源管理器explorer.exe与启动资源管理器explorer.exe的源代码
03-19
重新启动资源管理器则通常需要使用CreateProcess或者ShellExecute等API来创建新的explorer.exe进程。 文件列表中的"ReplaceFolder.h"、"Functions.h"、"Resource.h"、"Functions.cpp"、"ReplaceFolder.clw"、...
exe将dll注入到explorer.exe资源管理器进程_DLL注入示例.injectdll
03-28
2. 获取进程句柄:DLL注入的目标是explorer.exe进程。你需要获取这个进程的句柄,这通常通过`OpenProcess`函数完成,需要提供进程ID和适当的访问权限。 3. 加载DLL:然后,使用`VirtualAllocEx`在目标进程的地址...
基于EasyHook实现监控explorer资源管理器文件复制、删除、剪切等操作
weixin_42011520的博客
11-18 7129
一、前言 最近自己在研究一个项目,需要实现对explorer资源管理器文件操作的监控功能,网上找到一些通过C++实现Hookexplorer文件操作的方法,由于本人习惯用.NET开发程序,加之C/C++基础较差,所以一直在研究如何用.NET实现,花了一周多的时间,终于基本实现了通过C# Hook资源管理器文件操作的功能,这里给出一些核心的内容,供大家参考。 二、EasyHook 1.简介...
注入Explorer.exe 并Hook CreateProcessW (MinHook库)
Care
01-21 3500
记录下学习的经历.. win10系统 被某杀毒给挂钩了.. 直接用虚拟机来操作 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include #include "MinHook.h" #include #if defined _M_X64 #pragma comment(lib, "libMinHoo
CFF Explorer实现Windows 7下API HOOK
shitdbg的博客
11-09 1982
关于API HOOK,就是截获API调用的技术,在对一个API调用之前先执行自己设定的函数,根据需要可以再执行缺省的API或者进行其他处理,假设如果想截获一个进程对网络的访问,一般是几个socket api:recv,recvfrom, send, sendto等等,当然你可以用网络抓包工具,这里只介绍通过API HOOK的方式来实现,最基本的有两种方法:1.修改原函数的入口地址,就是修改PE文件
海量视频资源【网盘直接取】
3y
11-06 11万+
资源分享资源均来源于网络,在自学/开公众号的时候收集而来。如果侵权请联系我,会第一时间删除。如果链接已失效(我也无办法,很多链接我是没有保存在自已的网盘中的,见谅)。如果...
www.wljx.net/forum.php,齐博CMS:主页被黑,不知漏洞在哪?
热门推荐
weixin_31281003的博客
03-10 33万+
用的是PHP168 5.0和PHPWind Forums v6.3.2的高深度整合版本,今天早上发现主页被换了!好在能进后台,能ftp,换回自己的主页,仔细检查,在“cache”文件夹多了一个yf.php文件,里面代码如下,请帮忙看看:$admin['pass']= "51496419";//设置密码$notice = "目录:";//设置版权$myneme = "Hack.Mr.Ji...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值