新版XDelBox发布:磁碟机专用测试版
专为对付磁碟机变种独占boot.ini文件开发。
好家伙,就为这个独占boot.ini文件的磁碟机,来来回回测试,虚拟机下重启了一天,偶尔还蓝屏。(破坏虚拟机的VMware Tools工具)
新增功能:
1.摆脱boot.ini文件的独占,具体不再细说了,有磁碟机做样本测试了就知道了。
2.文件浏览选择功能
面对系统的显示隐藏总是被系统破坏,再加上病毒主体文件名的随机性,往往很难用手工将其清除
这次的磁碟机变种就是如此,在文件输入框内填入:
c:\documents and settings\all users\「开始」菜单\程序\启动
回车,下面列表框即可显示该目录下的所有文件
(若遇到rootkit无法显示,在知道文件名的前提下,使用XDELBOX导入不检查路径功能)
c:\documents and settings\all users\「开始」菜单\程序\启动\~.exe.133218.exe
选中单击,列表框返回原待删除列表,选中的文件已经加入到待删除框内。
单击文字“待删除列表”可切换待删除文件框和文件浏览框,切换后即可实行右键重启删除或者拖入其它文件等操作。
若遇到删除文件后重启,c000021a 蓝屏提示,兄弟重装系统吧。这个病毒太阴险,遇到压缩包解了,感染了文件,再给你放回去,晕啊,想的真周到啊。
还有许多原先大家没提到的,比若破坏系统组策略的软件限制规则
删除的注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware Tools: "C:\Program Files\VMware\VMware Tools\VMwareTray.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware User Process: "C:\Program Files\VMware\VMware Tools\VMwareUser.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nod32kui: "; "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SecExpert: "C:\Program Files\Terminator\SecMain.exe Hide"
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes
为了让整个战斗发布显得丰满些,就上传几张图片点缀下。
病毒主体文件:
C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
C:\AUTORUN.INF
C:\pagefile.pif
f:\pagefile.pif
e:\pagefile.pif
d:\pagefile.pif
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
还好有时候还会产生c:\documents and settings\all users\「开始」菜单\程序\启动\~.exe随机数字.exe 的文件注意也同时删除。
您的位置: 
