bsmain.exe 瑞星仇恨者查杀方法

当前位置 : 首页 > 实用技巧 > 病毒查杀 > bsmain.exe 瑞星仇恨者查杀方法

bsmain.exe 瑞星仇恨者查杀方法

来源:互联网 作者:脚本宝典 时间:2015-07-26 16:51
病毒具体分析如下: Quote: File:bsmain.exe Size:131072bytes FileVersion:20.00 Modified:2008年3月7日,22:18:04 MD5:1EFE96D8D20513351DB5C1681D7BBAFE SHA1:3447D88F4789A1F969F7E0A2501CE16B629DC63D 1.病毒初始化,试图卸载瑞星杀

病毒具体分析如下: 

Quote: 
File: bsmain.exe 
Size: 131072 bytes 
File Version: 20.00 
Modified: 2008年3月7日, 22:18:04 
MD5: 1EFE96D8D20513351DB5C1681D7BBAFE 
SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D 


1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:\Program Files\Rising\Rav\update\setup.exe,如果找不到则在注册表中查找SOFTWARE\rising\Rav键,并利用RegQueryValueEx函数获得该键下面的installpath信息,即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\Setup.exe的卸载程序,成功启动后,会查找类名为Button,窗口为卸载(&U)的窗口,然后PostMessage发送消息,接着查找名为“下一步(&N)”的窗口,再PostMessage模拟用户按键发送消息,这样就完成了模拟卸载的过程。 

2.释放如下文件或者副本: 
C:\Windows\system32\bsmain.exe(病毒文件) 
不断的遍历A-Z盘 查找可移动存储设备,如果有则在其中生成bsmain.exe和autorun.inf达到随移动存储传播的目的。 

3.在注册表中添加如下启动项目 

Quote: 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的 
  [Beijing Rising Technology Co., Ltd.] 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的 
      [Beijing Rising Technology Co., Ltd.] 


以此达到开机启动自身的目的 

4.添加映像劫持项目劫持如下常见杀毒软件 

Quote: 
360Safe.exe 
360tray.exe 
adam.exe 
AgentSvr.exe 
AppSvc32.exe 
ArSwp.exe 
AST.exe 
autoruns.exe 
avconsol.exe 
avgrssvc.exe 
AvMonitor.exe 
avp.com 
avp.exe 
ccSvcHst.exe 
ceSword.exe 
EGHOST.exe 
FileDsty.exe 
FTCleanerShell.exe 
FYFireWall.exe 
HijackThis.exe 
IceSword.exe 
iparmo.exe 
Iparmor.exe 
isPwdSvc.exe 
kabaload.exe 
KaScrScn.SCR 
KASMain.exe 
KASTask.exe 
KAV32.exe 
KAVDX.exe 
KAVPF.exe 
KAVPFW.exe 
KAVSetup.exe 
KAVStart.exe 
KISLnchr.exe 
KMailMon.exe 
KMFilter.exe 
KPFW32.exe 
KPFW32X.exe 
KPfwSvc.exe 
KRegEx.exe 
KRepair.com 
KsLoader.exe 
KVCenter.kxp 
KvDetect.exe 
KvfwMcl.exe 
KVMonXP.kxp 
KVMonXP_1.kxp 
kvol.exe 
kvolself.exe 
KvReport.kxp 
KVScan.kxp 
KVSrvXP.exe 
KVStub.kxp 
kvupload.exe 
kvwsc.exe 
KvXP.kxp 
KvXP_1.kxp 
KWatch.exe 
KWatch9x.exe 
KWatchX.exe 
loaddll.exe 
MagicSet.exe 
mcconsol.exe 
mmqczj.exe 
mmsk.exe 
Navapsvc.exe 
Navapw32.exe 
nod32.exe 
nod32krn.exe 
nod32kui.exe 
NPFMntor.exe 
PFW.exe 
PFWLiveUpdate.exe 
QHSET.exe 
QQDoctor.exe 
QQKav.exe 
Ras.exe 
RsAgent.exe 
Rsaupd.exe 
rstrui.exe 
runiep.exe 
safelive.exe 
shcfg32.exe 
SmartUp.exe 
SREng.EXE 
symlcsvc.exe 
SysSafe.exe 
TrojanDetector.exe 
Trojanwall.exe 
TrojDie.kxp 
UIHost.exe 
UmxAgent.exe 
UmxAttachment.exe 
UmxCfg.exe 
UmxFwHlp.exe 
UmxPol.exe 
upiea.exe 
UpLive.exe 
USBCleaner.exe 
vsstat.exe 
webscanx.exe 
WoptiClean.exe 

劫持到C:\Windows\system32\bsmain.exe 


5.遍历非系统分区,覆盖感染exe文件,被感染的文件无法修复。由于病毒本体采用瑞星杀毒软件的图标,所以被感染的文件也全变成瑞星杀毒软件的模样... 

6.修改txt文件关联指向C:\Windows\system32\bsmain.exe 




解决办法: 

下载sreng: 

1.打开sreng,启动项目  注册表 删除如下项目  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的 
  [Beijing Rising Technology Co., Ltd.] 

把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的 
shell值改为explorer.exe 

并删除所有红色的IFEO项目 

系统修复-文件关联 点击修复  

2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 
删除C:\WINDOWS\system32\bsmain.exe 

3.对于被覆盖感染的exe文件,就只能全部删除了...默哀吧... 

Tag:

相关文章

网友评论

<