找回密码
 注册

auto.exe和autorun.inf变种病毒的清除

[复制链接]
Persephone 发表于 26-2-2008 10:00:02 | 显示全部楼层 |阅读模式

马上注册成为YANBONG会员吧!
时下最热门的资讯、娱乐、贴图等分享都在这里等你发掘哦!

您需要 登录 才可以下载或查看,没有账号?注册

×
病毒名:Win32.Hack.Popwin.ai.18474
病毒体大小:18,474 字节
病毒类型:木马
病毒危害程度:一般(1星)

Tag:AutoRun,随机,下载恶意软件


病毒行为

这是一个可通过移动硬盘传播的病毒,通过修改系统年份使卡巴斯基杀毒软件失效,查找窗口关闭金山毒霸.
会从指定的网址上下载大量恶意软件在用户计算机上.一切病毒相关的服务名和文件名都是随机的.

释放以下病毒文件:
%systemroot%\system32\83816DBD.EXE(文件名随机)
%systemroot%\system32\D7A48A2F.DLL(文件名随机)

在每个盘的根目录下生成病毒文件 auto.exe 和病毒辅助文件 autorun.inf,达到通过双击盘符就自动运行病毒文件 auto.exe的目的.

病毒是根据已内定的某些字符与获取用户电脑上的C盘的卷序列号进行计算,得出随机文件名.

枚举计算机进程,如发现 avp.exe(卡巴斯基),则修改系统年份为 2005 使其失去作用.

通过查找窗口的方法,如发现窗口标题为"金山毒霸"的则发送消息关闭.

病毒在联网状态下会读取某网址下的 update.txt 获取其它恶意软件的下载地址,获取完下载保存在用户计算机上并运行.

创建注册启动项:(注意:服务名也是随机)
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253Description"D7A48A2F"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253DisplayName"265E9253"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253ImagePath"%systemroot%\system32\83816DBD.EXE -k"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253ImagePath"%systemroot%\system32\83816DBD.EXE -k"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253DisplayName"265E9253"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253Description"D7A48A2F"

解决方案:
1.直接打开资源管理器,找到金山毒霸2007安装目录下的uplive.exe,双击升级到最新版本。毒霸2008不会被关闭。
2.升级后,重启系统到安全模式,全面杀毒。

手动解决方法一:
1.根据清理专家2.1系统修复下的加载项提示,找到那些随机字串的文件,很容易看到。
再把各磁盘根目录下 的auto.exe找到,一起添加到百宝箱中彻底删除的列表,彻底删除后,重启。
2.再次启动清理专家,用系统修复,把这些病毒修改的加载项修复掉。

手动解决方法二:
1、先把系统时间修改成正确的,使用安全卫士360的系统时间防改工具,禁止病毒修改系统时间,运行windows清理助手并升级。
2、断开网络,运行windows 清理助手进行清理,其间软件会提示重新启动才能清除,根据提示操作就可以了。
3、重新启动之后,再运行杀毒软件进行查杀就可以了。
回复

使用道具 举报

JackZero 发表于 26-2-2008 14:18:50 | 显示全部楼层
从来没中过这种病毒,但先谢谢分享先~~~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

ADVERTISEMENT

Archiver|手机版|小黑屋|YANBONG

GMT+8, 4-12-2024 16:37

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

重要声明:本网站是以即时上载留言的方式运作,本站对所有留言的真实性、完整性及立场等,不负任何法律责任。而一切留言之言论只代表留言者个人意见,并非本网站之立场,用户不应信赖内容,并应自行判断内容之真实性。由于讨论区是受到「即时留言」运作方式所规限,故不能完全监察所有即时留言,若读者发现有留言出现问题,请联络我们。本站有权删除任何留言及拒绝任何人士留言,同时亦有不删除留言的权利。切勿撰写粗言秽语、诽谤、渲染色情暴力或人身攻击的言论,敬请自律。
Proudly hosted by
LinodeDigital Ocean
快速回复 返回顶部 返回列表