rujrmue.exe和pumthsg.exe病毒专杀方法
木马介绍:
1、该木马通过U盘或者互联网传染,U盘和计算机可交叉感染!
2、系统进程多了一个进程:rujrmue.exe、pumthsg.exe进程.
3、基本上目前常见的杀软、专杀、清理软件都会被劫持。
4、系统无法进入安全模式,启动到安全模式蓝屏。
5、木马不停自检文件,所以木马运行时候删除部分文件之后会被恢复。
6、格式化系统盘重新装系统,系统扩展分区里木马文件未清除,导致全盘感染!
7、目前虽然该木马在计算机发作初期可以被杀软拦截,但木马很快建立多个程序、修改时间等,导致杀软等监软件被自动关闭。
8、被感染的电脑无论是正常或者安全模式双击或者右键打开桌面图标、双击或者右键打开硬盘可能也会启动该木马程序。
9、访问电脑中放有卡巴、360和瑞星等杀毒软件的文件夹,则自动关闭;访问卡巴斯基、360等安全网站,IE则自动关闭,禁止访问!
木马发作过程及文件分析:
1.添加启动项目:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rujrmue.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pumthsg.exe
2. 添加进程:rujrmue.exe和pumtthsg.exe(任务管理器可以看到)
3.创建注册表项目:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Files Exection,Image Files Exection该项目用来劫持目前常见杀软、专杀和清理软件。
4.在系统扩展分区(非操作系统分区)下面创建:autorun.inf,yeyinhi.exe.
5.在系统盘目录下面:X:\Program Files创建heex.exe,ykubdte.inf.
X:\Program Files\Common Files\System创建rujrmue.exe
X:\Program Files\Common Files\Microsoft Share创建pumthsg.exe
6.在C:\Windows\system32下创建了15.dll和20.dll。
注意:本机的该木马只生成上面的文件,不排除该木马或者其变种生成的文件不同或更多。本方法仅供参考!
手动删除方法:(清理过程断网、不要插U盘,以免交叉感染!)
1.在正常模式下无法清理的,所以首先要修复安全模式。所以先用附件的安全模式修复工具,双击解压出来的文件导入到注册表,安全模式修复了,现在重启电脑到安全模式。
2.双击附件“修复_显示所有文件.rar”解压的文件用来修复显示所有文件显示所有文件和文件夹,将隐藏受保护的操作系统文件前面的勾都不要。
3.由于木马程序已经关联各分区盘符以及常见杀软、专杀和清理软件的主程序和桌面快捷方式等,所以在清理时候有讲究的:在点我的电脑不要双击或者右键打开,注意要右键资源管理器打开或者在桌面新建一个压缩文档然后:浏览到木马创建的几个程序位置将上面指出的几个文件删除!亦利用系统搜索功能搜索木马文件进行删除!(这里的方法也是一种途径,具体问题仍需具体分析。)
4.开始>>运行>>输入regedit,确认.
浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,双击打开RUN将里面rujrmue.exe和pumthsg.exe删除。
5.然后浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion,展开CurrentVersion找到Image Files Exection将这个文件删除。
6.经过这一系列的删除之后你系统基本上可以正常工作了,由于这个木马可能回携带其他的一个盗号木马、破坏一些文件,所以重启之后要修复一些文件,使用杀软和清理软件对全盘进行查杀!
#.安全模式下压缩文件文件尚可以打开,你也可以尝试使用USBCleanerhttp://www.usbcleaner.cn/download/usbcleaner/usbcleaner20070602.rar来清理。USBCleaner提供AUTO专门清理,而且可以修复系统不本被禁止的功能,效果应该还算可以的。安全模式运行USBCleaner主程序可能会启动木马程序,自己想想办法怎么样启动(资源管理器里找到相应路径启动或者其他)不至于启动木马程序。
注意:安全模式清理系统时候不要乱点图标和快捷方式,清理电脑完成清理U盘的时候采用相同的打开方法删除文件。
提示:由于时间不足等原因不足的地方请广大网友提出!本手动查杀方法系本人(尤金·卡巴斯基)原创,转载要注明出处!
http://bbs.360safe.com/viewthread.php?tid=210085&extra=page%3D1
|