布朗特克病毒解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
病毒名称:Worm.Brontok
威胁级别:? ?
中文名称:“布朗特克”
病毒类型:蠕虫病毒
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个通过邮件传播的蠕虫病毒,会释放大量病毒文件到用户电脑中,并会自动重起
用户的电脑。
1、加入启动菜单:empty
2、添加如下注册表键值:
HKLM\software\microsoft\windows\currentversion\run\
Bron-Spizaetus = "C:\WINDOWS\ShellNew\RakyatKelaparan.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell = "Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
AlternateShell = "cmd-brontok.exe"
HKCU\software\microsoft\windows\currentversion\Policies\System\ DisableCMD = 0x0
HKCU\software\microsoft\windows\currentversion\Policies\Explorer\ NoFolderOptions = 0x1
HKCU\software\microsoft\windows\currentversion\run\
Tok-Cirrhatus-1464 = "C:\Documents and Settings\Admin\Local Settings\Application
Data\br3951on.exe"
HKCU\software\microsoft\windows\currentversion\run\
Tok-Cirrhatus = ""
HKCU\software\microsoft\windows\currentversion\explorer\advanced\ Hidden = 0x0
HKCU\software\microsoft\windows\currentversion\explorer\advanced\ HideFileExt = 0x1
HKCU\software\microsoft\windows\currentversion\explorer\advanced\ ShowSuperHidden = 0x0
HKCU\software\microsoft\windows\currentversion\Policies\System\ DisableRegistryTools = 0x1
实现锁定注册表编辑器,隐藏文件、文件夹及文件扩展名,开机自启动。
3、生成如下病毒文件
C:\Documents and Settings\Admin\Local Settings\Application Data\目录下:
services.exe; lsass.exe; winlogon.exe; smss.exe; inetinfo.exe; csrss.exe; br3951on.exe; Loc.Mail.Bron.Tok\caishanfeng@yahoo.com.cn.ini; Ok-SendMail-Bron-
tok\; Bron.tok-16-24\;
C:\Documents and Settings\Admin\Templates\6084-NendangBro.com C:\Documents and Settings\Admin\My Documents\My Pictures\about.Brontok.A.html
系统目录下:%systemroot%\ShellNew\Rakyatkelaparan.exe;
%systemroot%\KesenjanganSosial.exe;
%system%\cmd-brontok.exe;
4、调用at.exe将C:\Documents and Settings\Admin\Templates\6084- NendangBro.com设定为
计划
项目进度计划表范例计划下载计划下载计划下载课程教学计划下载
任务,每天执行2次。
5、搜索用户电脑中的电子邮件地址,自动发送邮件传播自己。
6、当发现用户打开特定的窗口后会自动重起机器。
----------------------------------------------------------- 病毒症状:
[explorer]核心启动中附带有木马C:\WINDOWS\KesenjanganSosial
注册表被锁、文件夹选项消失等等。
病毒添加启动项:
[开始,程序,启动] Empty.pif
[Bron-Spizaetus] C:\WINDOWS\ShellNew\RakyatKelaparan.exe [Tok-Cirrhatus]
[Tok-Cirrhatus-969] C:\Documents and Settings\[Users]\Local Settings\Application
Data\br2961on.exe (数字有可能不是2961)
病毒文件:
C:\Documents and Settings\[Users]\Application Data\ 和
C:\Documents and Settings\[Users]\Local Settings\Application Data 中有大量病毒程序,比如csrss.exe、inetinfo.exe、winlogon.exe、services.exe、smss.exe、
lsass.exe、svchost.exe、Bron.tok-17-x.exe(x为数字)、以及带有“Bron tok”名字的文
件,[Users]是指每一个用户名。
准备工具:木马杀客或者其他。
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
-----------------
杀毒步骤:
1、用process explorer结束所有带有Application Data路径的进程。
2、在记事本里面输入以下
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
(如果禁止了右键,我们可以从“文件”这里新建一个):
dim wsh
set wsh=wscript.createobject("wscript.shell")
wsh.regwrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\
Disabled",""
wsh.regwrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Dis
ableRegistryTools","0"
wsh.popup ("已经成功解开注册表")
另存为1.vbs或者1.vbe 运行这个文件,注册表就解开了。
3、用记事本写以下内容:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableCMD"=dword:00000000
另存为1.reg文件然后双击运行这个文件,也是解锁注册表的。
4、文件夹选项消失,无法显示隐藏文件、扩展名解决方法,用记事本写以下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
另存为2.reg文件然后双击运行这个文件。
5、恢复显示“文件夹选项”,以便查看隐藏文件即文件扩展名:
运行,gpedit.msc,“本地计算机”策略,用户配置,管理
模板
个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载
,windows组件,windows
资源管理器,更改设置:从“工具”菜单删除“文件夹选项”菜单~选择,已禁用即可。
6、开始,运行,regedit,打开注册表搜索KesenjanganSosial、RakyatKelaparan、Bron tok,
搜索到的子项删除。
比如定位到
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run 删除:Bron-Spizaetus = "C:\%system%\ShellNew\RakyatKelaparan.exe" HKLM\SoftWare\Microsoft\Windows\CurrentVersionWinlogon\Shell 删除:Bron-Spizaetus = "C:\%system%\ShellNew\RakyatKelaparan.exe" (%system%在windows xp下指windows\system32,windows 2000下则为WINNT)
定位到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg 删除:Bron-Spizaetus、Tok-Cirrhatus、Tok-Cirrhatus-969等相关项。
7、在文件夹选项里显示隐藏文件和系统文件。
或者直接修改注册表,显示系统文件、隐藏文件、扩展名,用记事本写以下内容:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001 另存为3.reg文件然后双击运行这个文件。
注册表的操作可以全部写到一个reg文件,然后一步添加完成,这里分步只是为了解释一下。 8、搜索含有“Bron tok”字符的所有文件,然后删除。
9、删除在C:\Documents and Settings\[Users]\Application Data\和 C:\Documents and Settings\[Users]\Local Settings\Application Data
文件夹里的病毒程序,比如csrss.exe、inetinfo.exe、winlogon.exe、services.exe、smss.exe、lsass.exe、svchost.exe、Bron.tok-17-x.exe(x为数字)、以及带有“Bron tok”名字的文件,[Users]是指每一个用户名,全文同。
10、删除开始菜单里面的:
c:\Documents and Settings\[Users]\[开始]菜单\程序\启动\empty.pif 11、删除C:\Windows及C:\WINDOWS\system32目录下的[Users]'s Setting.scr文件, 如果有的话,删除C:\WINDOWS\system32\??.exe (图标是个“中”字的exe文件,网络实名) 12、修改C:\Autoexec.bat,删除里面的字符:"pause",保存退出。
13、清理IE临时文件、用超级兔子或者优化大师等工具清理临时文件。
补充:
杀毒过程中需要修复EXE文件关联:复制C:\WINNT\SYSTEM32\CMD.EXE到桌面,修改为CMD.COM,运行进入DOS窗口,然后执行assoc .exe,看看结果,如果不是.exe,exefile,那么就输入assoc .exe,exefile回车,即可。
浙公网安备 33021202002483