国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

1、用hijackthis掃描系統(tǒng)，去除不要臉的nmgamex.dll。
2、檢查是否有類似進(jìn)程，有則結(jié)束之。
3、刪除以下文件：
NMWizardA14.exe　　 c:\winnt\NMWizardA14.exe
nmgamex.dll　　 c:\winnt\system32\nmgamex.dll
NMGameX文件夾，位于：c:\winnt\system32下
nmStarterA.dll位于c:\winnt\system32下
NMChatX.ocx　　位于：c:\winnt\system32\
nmevtmsg.dll　　 位于：c:\winnt\system32\
nmmkcert.dll　　 位于：c:\winnt\system32\
csrss.exe　　 c:\winnt\csrss.exe; 正確的系統(tǒng)文件目錄為：c:\winnt\system32\csrss.exe;
cctv5.exe　　 c:\cctv5.exe;
sinaproc327.exe　　 c:\winnt\system32\sinaproc327.exe;
NMWizardA14.exe 　　 c:\winnt\NMWizardA14.exe

作者：清新陽(yáng)光 ( http://hi.baidu.com/newcenturysun)
日期：2007/08/11

ghost.pif之前有分析過(guò)，現(xiàn)在又發(fā)現(xiàn)出現(xiàn)了新變種。具體分析如下:
File: Ghost.pif
Size: 22575 bytes
MD5: 550AD3A14D272B9D4BA7A019F714BFF5
SHA1: 69AC64704EA1FAF21F31B97473B3F57CCFCCA88F
CRC32: B61F22F8

運(yùn)行后生成如下文件：
%ProgramFiles%\Common Files\goskdl.dll（隨機(jī)6位字母文件名）
%ProgramFiles%\Internet Explorer\rksldk.bak（隨機(jī)6位字母文件名）
%ProgramFiles%\Internet Explorer\rksldk.dll（隨機(jī)6位字母文件名）
%ProgramFiles%\Internet Explorer\rksldk.ebk（隨機(jī)6位字母文件名）

注冊(cè)表操作：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面添加
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><%ProgramFiles%\Internet Explorer\rksldk.dll> [Microsoft Corporation]
達(dá)到開(kāi)機(jī)啟動(dòng)目的
HKLM\SOFTWARE\Classes\CLSID\下面添加
{C1626E66-C26B-C628-E1DF-CDACCFA26EE1} 指向%ProgramFiles%\Common Files\goskdl.dll通過(guò)IE瀏覽器鉤子加載

查詢以下注冊(cè)表項(xiàng)目的某些鍵值來(lái)獲取相關(guān)安全軟件的安裝目錄，在獲得安裝目錄下生成以系統(tǒng)文件名"MFC42.DLL"命名的文件夾
SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe
并在MFC42.DLL文件夾下生成歧義文件夾I1!O!0..\導(dǎo)致windows下無(wú)法刪除該文件夾

檢測(cè)新移動(dòng)硬件插入 如果插入了新硬件 那么在其根目錄下生成ghost.pif和autorun.inf

控制explorer連接網(wǎng)絡(luò)下載木馬
讀取hxxp://www.xxxxx.org/Data/oK.txt的下載列表
下載hxxp://ora.xxxxx.com/Sex/1.exe
hxxp://ora.xxxxx.com/Sex/2.exe
hxxp://ora.xxxxx.com/Sex/3.exe
hxxp://ora.xxxxx.com/Sex/4.exe
hxxp://ora.xxxxx.com/Sex/5.exe
hxxp://orb.xxxxx.com/Sex/6.exe
hxxp://orb.xxxxx.com/Sex/7.exe
hxxp://orb.xxxxx.com/Sex/8.exe
hxxp://orb.xxxxx.com/Sex/9.exe
hxxp://orb.xxxxx.com/Sex/10.exe
hxxp://orb.xxxxx.com/Sex/11.exe
hxxp://orb.xxxxx.com/Sex/12.exe
hxxp://orb.xxxxx.com/Sex/13.exe
hxxp://orb.xxxxx.com/Sex/14.exe
hxxp://orb.xxxxx.com/Sex/15.exe
hxxp://orb.xxxxx.com/Sex/16.exe
hxxp://ora.xxxxx.com/Sex/M1.exe
hxxp://ora.xxxxx.com/Sex/oKoK.exe
到%Temp%文件夾

木馬植入完畢后在%System32%文件夾下生成很多wldoor0.dll類似的**door0.dll的文件
并且插入Explorer.exe和由explorer.exe啟動(dòng)的進(jìn)程

sreng日志體現(xiàn)如下
注冊(cè)表
啟動(dòng)項(xiàng)目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> [Microsoft Corporation]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:\WINDOWS\system32\wmdoor0.dll> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\WINDOWS\system32\qjdoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\WINDOWS\system32\mydoor0.dll> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINDOWS\system32\qhdoor0.dll> []
<{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\WINDOWS\system32\zxdoor0.dll> []
<{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\WINDOWS\system32\tldoor0.dll> []
<{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\WINDOWS\system32\wddoor0.dll> []
<{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\WINDOWS\system32\rxdoor0.dll> []
<{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:\WINDOWS\system32\fydoor0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztdoor0.dll> []
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\WINDOWS\system32\jtdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []
瀏覽器加載項(xiàng)
[]
{C1626E66-C26B-C628-E1DF-CDACCFA26EE1} <C:\Program Files\Common Files\goskdl.dll, Microsoft Corporation>
正在運(yùn)行的進(jìn)程
[PID: 1748 / Administrator][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\wldoor0.dll] [N/A, ]
[C:\Program Files\Internet Explorer\rksldk.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\WINDOWS\system32\wmdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\qjdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\dadoor0.dll] [N/A, ]
[C:\WINDOWS\system32\mydoor0.dll] [N/A, ]
[C:\WINDOWS\system32\qhdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\zxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\tldoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wddoor0.dll] [N/A, ]
[C:\WINDOWS\system32\rxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\fydoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wgdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\ztdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\jtdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wodoor0.dll] [N/A, ]
[C:\WINDOWS\system32\mhdoor0.dll] [N/A, ]
[C:\Program Files\Common Files\goskdl.dll] [Microsoft Corporation, 1. 0. 0. 1]

解決辦法：

一、清除ghost.pif產(chǎn)生的病毒文件
重啟計(jì)算機(jī) 進(jìn)入
安全模式下(開(kāi)機(jī)后不斷 按F8鍵 然后出來(lái)一個(gè)高級(jí)菜單 選擇第一項(xiàng) 安全模式 進(jìn)入系統(tǒng))
雙擊我的電腦，工具，文件夾選項(xiàng)，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件（推薦）"前面的鉤。在提示確定更改時(shí)，單擊

“是” 然后確定
打開(kāi)任務(wù)管理器－進(jìn)程－結(jié)束explorer進(jìn)程 此時(shí)桌面消失

點(diǎn)擊 任務(wù)管理器菜單欄 文件－新建任務(wù)－瀏覽 在彈出的瀏覽窗口里找到
%ProgramFiles%\Common Files\goskdl.dll（隨機(jī)6位字母文件名）
%ProgramFiles%\Internet Explorer\rksldk.bak（隨機(jī)6位字母文件名）
%ProgramFiles%\Internet Explorer\rksldk.dll（隨機(jī)6位字母文件名）
%ProgramFiles%\Internet Explorer\rksldk.ebk（隨機(jī)6位字母文件名）
右鍵刪除他們
二、清除ghost.pif下載的木馬*door0.dll
還是在任務(wù)管理器里面 （依舊結(jié)束explorer進(jìn)程）
點(diǎn)擊 任務(wù)管理器菜單欄 文件－新建任務(wù)－輸入cmd 確定
打開(kāi)了命令行窗口
在命令行窗口中進(jìn)入%system32%文件夾
然后 輸入 del *door0.dll /f /q
點(diǎn)擊 任務(wù)管理器菜單欄 文件－新建任務(wù)－輸入explorer.exe 確定

三、清理注冊(cè)表
打開(kāi)sreng
啟動(dòng)項(xiàng)目 注冊(cè)表 刪除如下項(xiàng)目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> [Microsoft Corporation]（隨機(jī)6位字母文件名）
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:\WINDOWS\system32\wmdoor0.dll> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\WINDOWS\system32\qjdoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\WINDOWS\system32\mydoor0.dll> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINDOWS\system32\qhdoor0.dll> []
<{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\WINDOWS\system32\zxdoor0.dll> []
<{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\WINDOWS\system32\tldoor0.dll> []
<{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\WINDOWS\system32\wddoor0.dll> []
<{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\WINDOWS\system32\rxdoor0.dll> []
<{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:\WINDOWS\system32\fydoor0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztdoor0.dll> []
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\WINDOWS\system32\jtdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []（等所有*door0.dll的項(xiàng)目）

系統(tǒng)修復(fù)－瀏覽器加載項(xiàng)－找到如下項(xiàng)目 點(diǎn)擊刪除項(xiàng)目，在彈出的對(duì)話框中點(diǎn)“是”
[]
{C1626E66-C26B-C628-E1DF-CDACCFA26EE1} <C:\Program Files\Common Files\goskdl.dll, Microsoft Corporation> （隨機(jī)6位字母文件名）

四、刪除瑞星 江民 卡巴 360文件夾下的MFC42.DLL
方法：
新建一個(gè)記事本文件
輸入如下字符

DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1

保存為1.bat文件
將要?jiǎng)h除的MFC42.DLL文件或者文件夾，用鼠標(biāo)左鍵拖放到1.bat的文件圖標(biāo)上（就像把文件拖到文件夾里的操作一樣），一個(gè)CMD窗口閃爍之后偽"MFC42.DLL"文件夾就被刪除了