实验工具与环境配置

  • 虚拟机软件:VMware Fusion 11.5.5
  • 操作系统:Windows XP
  • 虚拟病毒:VirtualVirus
  • 进程管理器:IceSword

运行虚拟病毒

在 Windows XP 虚拟机中,运行 VirtualVirus 可执行文件。

从现象上看,病毒会导致每隔一段时间就弹出一个对话框,不断累积。

事实上,触发虚拟病毒之后,除了开启本身进程(VirtualVirus)之外,还会把自身复制到 C:\WINDOWS\system32 和 C:\WINDOWS\ 目录,并分别改名为 explorer.exe 和 taskmgr.exe,然后启动它们。而这两个进程的名称正好与系统进程相同,可以起到混淆作用。不仅如此,这两个进程还互相监控,一旦一个进程被杀掉,另一个进程就再次启动它。

此外,虚拟病毒还会修改注册表,使 C:\WINDOWS\system32\explorer.exe 和 C:\WINDOWS\taskmgr.exe 随系统自动启动。

清除方法

第一步:结束 VirtualVirus.exe 进程

在任务管理器的进程中,找到 VirtualVirus.exe 并结束进程。

第二步:结束 taskmgr.exe 和 explorer.exe 进程

这两个进程互相保护,所以要结束这两个进程有两种方法:

方法 1:用 Windows 的任务管理器中的结束进程树的方法。该方法的缺点是不知道进程的路径,可能误结束系统进程。

方法 2:使用可以同时结束两个进程的进程管理器,如 IceSword,通过该进程管理器不仅可以看到进程名,还可以看到进程路径,这样就不会误删系统进程。

这里我们采用第二种方法,按住 ctrl 键同时选中两个进程,将其结束。

第三步:修改注册表

删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的 explorer 和 taskmgr 两个键,这里使用的是注册表编辑器,也可以通过 IceSword 删除。

第四步:删除病毒副本

删除 C:\WINDOWS\system32\explorer.exe 和 C:\WINDOWS\taskmgr.exe。

至此,我们已将虚拟病毒彻底清除。

虚拟病毒分析与清除方法相关推荐

  1. 实验四-VBScript脚本病毒分析与清除

    [实验名称] VBScript脚本病毒分析与清除 [实验目的] 1.了解VBScript如何实现文件.进程及注册表操作 2.了解VBScritp病毒的工作原理 3.了解VBScritp病毒的感染目标和 ...

  2. 详解六大QQ病毒特征及清除方法

    作为国内第一的即时通讯工具,QQ现在已经成为越来越多病毒进攻的目标,下面笔者就讲解QQ病毒中较出名的六种病毒的清除方法,希望大家能够喜欢! 内容导航 "QQ尾巴"病毒 QQ&quo ...

  3. u盘自动运行病毒分析与解决方法

    U盘自动运行病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖Windows的自动运行功能,使得我们在点击打开磁盘 的时候,自动执行相关的文件.今天带来U盘(auto病毒)类病毒分 ...

  4. U盘流行病毒autorun的分析及清除方法

    U盘流行病毒的形态为autorun名称的隐藏文件,后缀名为inf.exe等十种,通常表现为双击无法打开机器盘符,只能右击再点打开:系统变慢.有的没有感觉到异样,不大影响使用,但硬盘根目录下仍然有各种名 ...

  5. Linux系统病毒木马排查清除方法

    Linux: 1.检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) 注:此时last命令也有可能变得不可靠,需要检查 ----- ...

  6. Windows系统病毒木马排查清除方法

    Windows: 1. 检测本地网络连接,cmd下netstat-ano这个可以显示所有的网络连接,还有PID值,在任务管理器中可以对照响应的PID值进行查看相应的进程.2. 用户检查,打开" ...

  7. Android最新敲诈者病毒分析及解锁

    一.情况简介 从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的.前天去吾爱破解论坛病毒样 ...

  8. 详解六大QQ病毒特征及清除

      作为国内第一的即时通讯工具,QQ现在已经成为越来越多病毒进攻的目标,下面笔者就讲解QQ病毒中较出名的六种病毒的清除方法,希望大家能够喜欢! 内容导航 "QQ尾巴"病毒 QQ&q ...

  9. 灰鸽子病毒手工清除方法

    灰鸽子病毒手工清除方法[多图] www.rising.com.cn  2005-2-1 9:50:00  信息源:瑞星公司 作者:刘明星 广告   灰鸽子(Backdoor.Huigezi)作者现在还 ...

最新文章

  1. 绿米空调伴侣接入iobroker_普通空调用它变成互联网智能空调,你觉得怎么样?...
  2. Asp.net(C#)-显示所有缓存 清除所有缓存
  3. CVE漏洞—PHPCMS2008 /type.php代码注入高危漏洞预警
  4. hdu 3790 最短路径问题
  5. 生活中的实验 —— 家庭电路
  6. 关于java中assert(断言)的使用讲解
  7. 物理机安装linux系统,物理机安装linux的三种方法
  8. JavaScript多线程编程
  9. 博客园样式(仿简书)
  10. JavaScript中的name和classname有什么区别
  11. 微信每日定时推送消息新闻到群聊或朋友
  12. linux环境变量设置 (PS1,PS2)
  13. Individual tree segmentation and tree-counting using supervised clustering
  14. PNG文件编码解析之PNG文件格式中的所有数据块以及标识
  15. 物性参数库查询网站集合
  16. 思维导图模板怎么制作?提供几种思路
  17. python爬虫(三):爬虫常用工具包
  18. ubuntu 服务器防止误删文件或误删文件
  19. 数学与计算机科学国际研讨会怎么样,“计算数学与科学计算国际研讨会——暨纪念冯康先生百年华诞”(2020年8月17日-8月20日)...
  20. RFID复习笔记(3)——RFID天线技术

热门文章

  1. 谷歌浏览器设置点击链接时打开新窗口
  2. html5 iframe 无法滚动条,iframe嵌入的页面没有滚动条
  3. 防火墙的分类及其介绍
  4. Python3,区区一段代码,自己就可以制作动漫头像,YYDS。
  5. restore还原不同名称的数据库_如何将数据库还原到新位置并使其具有新名称 (Transact-SQL)...
  6. Performance_js中计算网站性能监控利器
  7. 验证码无法显示:Could not initialize class sun.awt.X1 GraphicsEnvironment解决方案
  8. 软件工程--瀑布模型特点详解
  9. C#:钩子、委托、匿名、事件、结构体转字节数组、多线程操纵控件、UDP
  10. 名帖169 虞世南 行草《疲朽帖》