컴퓨터의 바이러스

Q&A 세 번째 질문을 보세요

본 글은 2009년 7월 18일 오후 10시부터 새벽 4시까지 작성되었는데 당시 저는 중독상태였습니다. , 그리고 동시에 바이러스를 죽이기도 했는데 결국 다 썼는데 12시 이후에 아무것도 저장하지 않고 IE가 다운되어서 마음이 아팠습니다. 그때는 정말 아팠어요. 19일에 나갈 일이 있어서 안 썼어요. 오늘은 트로이 목마라던가 특별한 설명을 할게요. 빨간색은 설명입니다. 요약은 마지막에 있습니다. 첫 번째 기사인 도구를 먼저 읽어보세요.

sreng, xuetr, wsyscheck0116 중국어 버전, 프로세스 탐색기 다운로드로 이동합니다. 온라인으로 다운로드하지 마세요. U 디스크를 사용하여 인터넷 없이 복사하고, U 디스크 없이 U 디스크 없이 계속 읽으세요.

sreng

/

wsyscheck0116 중국어 버전

/?q, 그러면 데스크탑을 사용할 수 없습니다. explorer.exe가 강간되었습니다. 다운로드 후 데스크탑이 나타나고 무슨 일이 있었는지 분석합니다.

다시 시작한 후 데스크탑이 없습니다 , 그러나 나중에 보게 될 것입니다. 프로세스 탐색기를 사용하여 보면 rundll32.exe가 explorer.exe 아래에 나타날 때 간단히 말하면 탐색기가 rundll32를 로드한 다음 rundll32.exe가 로드됩니다. . 트로이 목마, xttp6j11x.exe는 잠시 후에 나타납니다. cmd.exe가 3개 있습니다. cmd는 트로이 목마가 아니고 그냥 호출됩니다. 하나는 iexplore.exe입니다. IE는 그것을 알고 있으므로, 그렇지 않아도 갖고 있을 것입니다. 웹 페이지를 열지 마세요. 하나는 1a1 .exe이고, QQ에 로그인할 수 없습니다. 알림을 주는 상금 획득 메시지가 있습니다.

요약하자면: 프로세스가 나타납니다

c:\windows\system32 디렉터리의 xttp6J11x.exe

1a1.exe, c:\windows\system32 디렉터리의

iexplore.exe는 트로이 목마에 의해 강간당했습니다. , 삭제하지 않고 종료하세요.

cmd.exe가 트로이 목마에 의해 강간당했습니다. 그냥 종료하면 삭제할 필요가 없습니다. 여기에는 3개가 있습니다.

QQ에 로그인할 수 없고 QQ 당첨 메시지가 나타납니다

위에서 언급한 내용은 모두 기본적인 증상이므로 이해하시면 쉽게 알 수 있는 소프트웨어입니다. 여기, 앞으로 독하면 할 수 있을 겁니다.

sreng을 사용해서 보시고, 보고서에 있는 내용을 직접 스캔해서 올려드리겠습니다. 자세히

시작 프로젝트, 즉 소프트웨어의 시작 프로젝트에 있는 항목이 더 구체적이고 일반적인 비교가 있습니다.

등록 테이블

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

​​​​[(인증된)Microsoft Windows Component Publisher]에 지침이 있습니다. 비교하려면 여기에서

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<> [N/A]를 사용하세요. 일반적으로 눈에 띄는 것은 없습니다.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

​​​​[ ] ←내가 [ ]에 언급된 트로이 목마는 자체 시작 항목을 추가합니다.

[HKEY_LOCAL_M

ACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

​​​​[]←제가 언급한 [ ], 트로이 목마가 자체 시작 항목을 추가했습니다.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

[] 트로이 목마

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

<{AB900155-F1F0-4165-9E73-67BC13BBCE89}> []트로이 목마

<{22EEBD06-A251-44C3-BB16-426025319471}> []트로이 목마

<{ CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}> []트로이 목마

<{76CBCF38-0583-44C7-A1AE-D463DFE625EC}>< C:\ WINDOWS\system32\skcfujQ5EDN.dll> []트로이 목마

<{76B9BA7A-81D0-4979-8598-8471F2AB5186}> []

<{9726072A-8039-4958-B609-565CF7A16B38}> []

-B20E-0B656D450264}> []

<{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}> []

<{C1606DC4 -C352-4B1F-A0B5-52DF3204E05D}> []트로이 목마

<{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}> []

<{41912A21-4337-4E99-8C30-80A8434B0793}>

xwpem.dll> []

<{11B10F7F-FB23-466D-BDC3-9591CF02EC17}> []

<{37C5D66A -8B1B-4545-8112-3751194F6A4A}> []

<{71C4F360-FF1E-413E-B17A-0CA267A78E97}> []

<{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}> []

< {A5CA6C70-7185-4466-AB45-B1C34E7A37CA}> []

<{DA112397-5376-4E52-A333-A85284658DEA}> [] Trojan 폰 형식인데 소스 파일을 찾을 수 없습니다.

너무 많아서 다 표시하지도 않고 올리지도 않겠습니다. . 결국 이것은 단지 예일 뿐이며 스스로 찾고 판단할 수 있으며 숫자와 문자가 혼합된 유형을 찾으십시오. N/A, [ ] 파일이 누락되었습니다. 적어 두는 것이 가장 좋습니다. , 나중에 유용하겠습니다

시작 폴더는 일반적으로 트로이 목마가 사용하지 않습니다. 이것을 넣어두겠지만 배제할 수는 없습니다

N/A

=========== ============== =========

서비스가 너무 많습니다

이므로 트로이 목마와의 일반적인 비교를 게시하겠습니다.

[Intel?PROSet/Wireless WiFi Service / S24EventMonitor][실행/자동 시작]

무선 네트워크 카드에 대한 지침이 있습니다.

[xttp6J11x / xttp6J11x][실행/자동 시작]

위에서 언급한 프로세스 프로그램에서 이 항목은 sreng에서 직접 삭제한 다음 중지하고 시작할 수 있으며, xuetr도 사용할 수 있습니다. .

드라이버

드라이버

[RAS 비동기 미디어 드라이버 / AsyncMac][중지됨/수동 시작]

5와 비교하면 6월 보고서에는 이 항목이 없는데, 7월 보고서에는 있는데 정상인지 알 수 없어서 그대로 두겠습니다

[ eamon / eamon][실행 중/자동 시작]

[ehdrv / ehdrv][실행/시스템 시작]

비교 5 6월, 7월 없음 네, ESET에서 나온 것으로 확인되었습니다. 360 버전이 정식 버전으로 교체되었기 때문인가요?

peio / peio][실행 중/수동 시작]

<\?\C:\WINDOWS\system32\Drivers\peios.sys> 비교 567 Yuedu 아니요 , 일시적으로 트로이 목마로 판단됩니다

[yrgpvq / yrgpvq][실행/부팅 시작]

<\SystemRoot\system32\drivers\lwtsg.sys> 비교할 필요도 없이 직접적으로 트로이목마라고 판단했고, 서비스명, 드라이버명 모두 지저분하니 왜인지는 묻지마세요, 제 느낌은 시간이 지나면 느끼실 수 있을 것 같아요

실행 중인 프로그램

설명을 위해 그 중 두 개를 게시하겠습니다.

[PID: 1264 / SYSTEM][C:\WINDOWS\system32\xttp6J11x.exe] [N/ A, ] 그 트로이 목마,

표시가 보이나요? 다시 시작한 후 ESET의 바이러스 백신 프로그램이 시작되지 않았기 때문에 system.exe가 실행되고 있지 않지만 서비스가 시작되었을 수 있으며 위에서 언급한 항목도 없었습니다.

여기서 광고도 아니고 신뢰도 아닙니다. 제 네티즌이 Rising을 몰고 갔는데, 그 과정에서 Rising이 스스로를 보호할 수 밖에 없었던 트로이 목마가 모두 있었습니다. 따라서 모든 사람에게 Rising 소프트웨어를 제거하라고 조언합니다. 내 경험에 따르면 Rising은 좋지 않습니다. Rising의 나쁜 바이러스 백신 소프트웨어를 계속 사용하도록 선택할 수 있습니다. .

[PID: 1324 / IEXPLORE.EXE][IEXPLORE.EXE] [Microsoft Corporation, 7.00.6000.16791 (vista_gdr.081217-1620)]

삽입 유형 트로이 목마, 일반적으로 dll 파일, fon 파일, IEXPLORE.EXE에 삽입됨

[C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll] [N/A, ] 이 트로이 목마는 모든 항목에 삽입되며 강력하며 신체의 견딜 수 있는 능력을 두려워하지 않습니다. 아니, H를 클릭해 보는 것은 어떨까요?

[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)] 저는 매우 평범합니다

[C:\Documents 및 설정\jly\Application Data\S3.dll] [해당 없음, ] 트로이 목마,

[C:\WINDOWS\system32\mtlrd.dll] [, 4.4.3.0]

WS\system32\COMRes.dll] [마이크로소프트사, 2001.12.4414.42] 네티즌의 것

COMRes.dll이 트로이목마로 바뀌었는지, 감염되었는지는 알 수 없지만 네티즌의 마크는 N이다 /A, 확실히 트로이 목마입니다. 최근에 인기 있는 COMRes.dll이 진입점을 찾지 못하는군요. 제가 이상하네요. 교체된 경우 Q&A를 참고해주세요.

[C:\WINDOWS\fonts\YZefWbcSzhK6J.fon] [N/A, ] 글꼴 형식으로는 트로이목마 경로를 찾을 수 없습니다. 그래서 없어서 삭제했는데 경로대로 열면 되겠네요.. 방법을 바꿔서 메모장으로 열어보라고 했을 뿐입니다. 여기서 설명하는 것은 의미가 없습니다.

[C:\WINDOWS\system32\JBn2ypqY23vWX.dll] [N/A, ]Trojan

[C:\WINDOWS\system32\taNjsFa2tT2Dh. dll] [해당 없음, ]트로이 목마

[C:\WINDOWS\fonts\uXUsF2RrQy.fon] [해당 없음, ]트로이 목마

[C:\WINDOWS\system32\ Va7SpUWgCA5f.dll] [해당 없음, ]트로이 목마

[C:\WINDOWS\system32\08223B03.dll] [해당 없음, ] 트로이 목마

[C:\WINDOWS\ 글꼴\xPjWNGd8cERq.fon] [해당 없음, ] 트로이 목마

[C:\WINDOWS\fonts\fyrwJf5Qfhh.fon] [해당 없음, ] 트로이 목마

[C:\ WINDOWS\system32\704C3595.dll] [해당 없음, ] 트로이 목마

[C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon] [해당 없음, ] 트로이 목마

[C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll] [해당 없음, ] 트로이 목마

[C:\WINDOWS\system32\JPccCJnKygDdp3.dll] [해당 없음, ] 트로이 목마

[C:\WINDOWS\system32\76B9BA7A.dll] [N /A, ] 트로이 목마

[C:\WINDOWS\system32\skcfujQ5EDN.dll] [N/A, ] 트로이 목마 말

[C:\WINDOWS\system32\e999G49bN.dll] [해당 없음, ] 트로이 목마

[C:\WINDOWS\system32\xg4hAPNygs29.dll] [N/ A, ] 트로이 목마

[C:\WINDOWS\system32\Mit47503109Lic.dll] [, 1, 0, 0, 1] 잘못된 판단입니다.

[C: \WINDOWS\system32\up9fEkYRsKHT.dll] [해당 없음, ] 트로이 목마

모두 게시하지는 않았지만 모두 찾아 이름을 적어두어야 합니다. 나중에 유용할 것입니다. 지금은 지루할 수 있지만 앞으로는 그렇지 않을 것입니다. 연습하면 완벽해집니다.

다음 두 가지 항목에 문제가 있습니다. 그냥 복구하세요. 바이러스 백신 후에 복구하세요.

Autorun.inf

HOSTS 파일

위 부분은 sreng 소프트웨어를 이용해서 보시면 끝입니다. 나는 그것을 다루지 않았습니다. 당신이 익숙해지면 단계별로 설명하고 싶습니다.

그러면 자연스럽게 어떻게 하는지 알게 되실 겁니다.

xuetr 함수 사용법 간단한 설명

여기서는 작업을 해보겠습니다. sreng은 보조로만 사용되며 xuetr이 주인공이며 추가되었습니다. 얼음 칼날, 저격용 검 등과 같은 xuetr과 유사한 도구를 사용할 수 있습니다.

먼저 xuetr을 엽니다.

이 도구 구성: 여기에서 모두 확인하거나 개인 작업 습관에 따라 그대로 둘 수 있습니다.

이미지 하이재킹: 내용이 있으면 삭제해 보세요. 이 도구에 구성되어 있으면 √가 됩니다. 삭제하면 다시 없습니다. 구성하지 않은 경우 새로 고친 후 그대로 놔두셔도 됩니다. 바이러스를 죽인 후 삭제하면 사라집니다.

DCP 타이머는 안 됩니다. 무슨 일을 하는지 모르겠어요. 사용해본 적이 없어서 상관없습니다.

서비스: 파일 제조사를 찾을 수 없나요? 설명도 없고, 이름도 이상해요. 이유를 아시나요? 여기에 있는 회사의 대부분은 Microsoft Corporation을 비롯하여 그래픽 카드 제조업체, 일부 소프트웨어 제조업체, 바이러스 백신 소프트웨어, 플레이어 제조업체 등입니다. 이전에 컴퓨터라는 제조업체를 본 적이 있습니다. 확실히 트로이 목마인가요? , 발견 후 sreng 보고서에 따라 서비스 삭제 또는 중지를 선택하십시오. 때때로 판단할 수 없으므로 중지를 사용하는 것이 좋습니다.

다른 말은 하지 않고 그냥 살펴보겠습니다. 커널

커널 모듈: 여기가 더 위험합니다. 잘못 삭제하면 블루스크린이 뜨기 때문에 정확한 판단을 하시고 마찬가지로 찾아보셔야 합니다. xuetr.sys에 대한 제조업체가 없습니다. 이것은 xuetr 자체 드라이버이므로 삭제하지 마십시오.

불확실한 디지털 서명 검증

프로세스:

권장 값 유지, 기타는 초과

시스템 유휴 프로세스 시스템 유휴 프로세스, 높은 수준, 이미지 경로 없음

시스템 시스템 키 프로세스, 이미지 경로는 system

system32 디렉터리의 smss.exe, 시스템 키 프로세스, system32 디렉터리의

csrss.exe, 시스템 키 프로세스

winlogon.exe는 system32 디렉터리에 있고 시스템 키 프로세스는

services.exe는 system32 디렉터리에 있으며 시스템 키 프로세스입니다

lsass.exe는 system32 디렉터리에 있고, 시스템 키 프로세스

svchost.exe는 system32 디렉터리에 있습니다. 그 중 몇 가지만 남겨두세요.

wmiprvse.exe system32\wbem에 있습니다.

explorer.exe는 Windows 디렉터리에 있습니다. 간단히 말해 데스크톱이 없으면 종료할 수 없습니다. .데스크톱이 없는 것이 익숙하지 않다면 그대로 두세요.

ctfmon.exe는 system32 디렉토리에 있습니다. 입력 방법은 없습니다. 익숙하지 않은가? 유지하세요

XueTr.exe 자동차 키를 누르시거나 확인을 눌러주시면 됩니다.

이러한 프로세스를 유지하는 이유는 무엇일까요? 트로이 목마가 섹스를 좋아했던 때를 기억하시나요? 프로세스 수가 적어서 할 일도 적고, Trojan 프로세스도 종료되었죠?

이제 DLL을 제거해 보겠습니다. 위의 드라이버와 서비스는 이미 삭제했습니다. 기억하시나요? DLL을 제거한 후에는 바이러스 백신 소프트웨어가 확실히 열 수 있습니다. 열 수 없는 경우에는 여전히 누락된 항목이 있는 것입니다. 바이러스 백신 소프트웨어가 스캔을 열 수 있을 때까지 위의 단계를 반복하십시오. 및 안티 바이러스.

각 프로세스를 하나씩 살펴보고, 프로세스 모듈을 보려면 마우스 오른쪽 버튼을 클릭하고, 위에서 메모하라고 요청한 해당 없음 항목을 찾으세요. 전역 제거는 일반적으로 파일 제조업체가 없으면 전역 제거 프로세스 중에 데스크톱 충돌, 소프트웨어 충돌 등이 발생할 수 있으므로 걱정하지 마십시오. 그렇지 않으면 xuetr이 종료됩니다. 마지막으로 작업 관리자로 종료할 수 없으므로 컴퓨터를 다시 시작해야 합니다. 그렇지 않으면 작업이 헛된 것입니다.

참고: 찾을 수 있습니다. sreng 스캔은 N/A, [ ]로 표시되어 있으며 xuetr에서 파일 제조업체를 보면 왜 그런지 궁금할 수 있지만 일반적으로 디지털을 확인하면 됩니다. 서명이 없으면 서명 없이 제거할 수 있습니다. 그러나 일부 파일 제조업체에는 디지털 서명을 확인하면 제거하지 마십시오.

모든 것을 제거한 후 바이러스 백신을 엽니다. 소프트웨어를 설치하고 바이러스 백신을 실행합니다.

요약: 트로이 목마의 몇 가지 일반적인 기능을 볼 수 있습니다. 이름이 이상합니다. 08223B03.dll은 순수 숫자, xg4hAPNygs29, xttp6J11x.exe가 혼합되어 있습니다. 유형, lwtsg.sys에는 불규칙한 문자 조합이 있고 sreng 스캔은 모두 N/A이며 xuetr이며 기본적으로 디지털 서명이 없습니다.

peios.sys 이것은 트로이 목마이므로 판단할 수 없으므로 서비스를 중지했지만 삭제하지 않았습니다. ESET이 시작된 후 트로이 목마로 확인되어 격리되었습니다.

asyncmac.sys는 트로이 목마가 아니었습니다. 파일을 확인해보니 발견되지 않았습니다. 제조업체입니다. 온라인으로 확인해 보니 문제가 없습니다.

p> 일반적으로 xuetr은 프로세스를 먼저 종료한 다음 서비스를 중지하는 데 사용됩니다. 커널 트로이 목마를 삭제한 후 위의 작업은 소프트웨어 인터페이스를 기반으로 하지만 가능합니다.

소프트 부팅을 사용하면 Rising을 사용하지 않는 한 Trojan 바이러스를 죽일 수 있습니다.

마지막으로 xuetr을 사용하여 이미지 하이재킹을 복구하면 많은 소프트웨어가 열릴 수 있습니다. sreng을 사용하여 HOST를 복구하는 것은 권장되지 않지만 xuetr은 사용하기 쉽지 않습니다. 이 트로이 목마에 의해 수정된 홈페이지는 작업 표시줄의 바로 가기 키 속성에서 다시 변경할 수도 있습니다. /p>

sreng 보고서를 스캔할 때는 웹페이지, QQ 등을 닫는 것이 가장 좋습니다. 소프트웨어, 모든 사람이 볼 수 있도록 스캔 내용을 줄입니다.

트로이 목마를 www.jlys에 넣었습니다. .ys168.com, 사진 영역에서 플레이하고 싶다면 거기로 가세요