!!!警惕病毒“死亡之吻(Death.exe)”(能过卡巴)-专杀工具下载

      朋友电脑一下子中了好东多病毒,死亡之吻、美女游戏、围巾一股脑儿的都冒了出来了,这是继熊猫烧香之后的又一严重威胁!个人觉得死亡之吻这个病毒比熊猫还BT,病毒本身不难杀,手工杀就可以了,BT的是感染后的exe/.scr 文件无法恢复,直接用病毒体代替掉,只能删除掉!

朋友电脑中了这个病毒之后,杀毒软件被禁用了、隐藏文件不让显示、msconfig不能运行、兔子魔法也不能用,整台电脑都瘫痪掉了。只要是中了这个病毒,我们所有的资料都危险了。。。

这简直就是噩梦!建议大家现在使用U盘的时候要万分小心,不是必须就不要到陌生的电脑上插U盘了!

下面是网上搜来关于Death.exe的一些资料,提醒大家一定要注意一下这个病毒……..

病毒特征:该病毒会搜索并感染用户电脑上可执行文件和脚本,使电脑硬盘内的资料和数据文件被损坏,而且它会对电脑进行动多种危险操作,包括连接到恶意网络站点,下载并运行其他多个病毒,强行终止多个杀毒软件的监控进程等等,造成计算机的安全性能下降,系统混乱等现象。此外,它还能通过U盘传播,可能造成病毒的大规模扩散。
发作症状:该病毒运行后,会自动连接到h**p://a.2007ip.***/cald/01.exe等10个站点,进行病毒下载。而且它会终止KAVPFW.EXE和Ravmond.exe等多个流行的杀毒软件及防火墙的监控进程。

样本编写语言:Borland Delphi 6.0 – 7.0
加壳方式:UPX
病毒运行

释放文件
C:WINDOWSsystem32Supervise.exe
C:WINDOWSsystem32Death.SiShen
C:WINDOWSsystem32Death.exe
C:WINDOWSsystem32Death.SiShen

内容为:
[Autorun]
OPEN=SuperDown.EXE
shellexecute=SuperDown.EXE
shellAutocommand=SuperDown.EXE

创建启动项
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
“Supervise.exe”=”C:WINDOWSsystem32Supervise.exe”
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
“Death.exe”=”C:WINDOWSsystem32Death.exe”

修改 显示文件和文件夹 注册表
[HKLMsoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall]
“checkedvalue”=dword:00000000

尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006:实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
tform1
噬菌体
木马克星

尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
kfw.exe
vsmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
death.exe (说明:自身副本)

搜索感染除系统盘以外的 .exe/.scr 文件.
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 .exe/.scr 文件全部无法恢复.同样通过区域网传播(death.exe),
ps:前车之鉴啊,,大伙打个醒噢不然后悔都来不及了.

专家的建议:
 1. 请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。

  2. 随着网络的发展,许多病毒也伴随而来,一些病毒专门窃取用户的个人隐私、个人数据信息等,并对用户的信息泄露或给用户造成更大的危害,请用户增强自己的安全防范意识,多浏览毒霸网站上的相关安全信息,切实做好自己的安全工作,才能避免病毒给您带来的麻烦。

手动清除方法

1:在安全模式下开启360安全卫士或木马杀客软件

2:终止进程Death.exe进程

3:删除
C:WINDOWSsystem32Death.exe  
C:WINDOWSsystem32Supervise.exe
C:WINDOWSsystem32Death.SiShen
C:WINDOWSsystem32Death.SiShen

4:删除注册表项中几项

启动项中
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
“Supervise.exe”=”C:WINDOWSsystem32Supervise.exe”
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
“Death.exe”=”C:WINDOWSsystem32Death.exe” .

显示文件和文件夹
[HKLMsoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall]
“checkedvalue”=dword:00000000

如果不能显示
运行——regedit
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1

这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)

方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

专杀工具

提供雨林木风论坛制作的专杀工具下载,希望对大家有帮助!





如果当前系统中没有感染死亡之吻(Trojan.Agent.fgf)病毒的话,将出现下图提示对话框。



下载文件 点击下载此文件

Categories: 其他杂记

Leave a Comment