autorun.inf和sbl.exe之U盘病毒的清除方法_病毒查杀

病毒生成如下文件:

Code:
  C:\WINDOWS\system32\1.inf
  C:\WINDOWS\system32\chostbl.exe
  C:\WINDOWS\system32\lovesbl.dll
  在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏
  注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的.

  启动类型:自动
  显示名称:A GooD DownLoad    CAHW

  调用TerminateProcess函数关闭如下进程

Code:
  360safe.exe
  360tray.exe
  runiep.exe
  avp.exe

  调用GetWindowsTextA函数 获得当前窗口标题,并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口

Quote:
  卡卡
  江民
  金山
  任务管理器
  木马清道夫
  木马克星
  超级巡警
  NOD32核心
  安全
  安全卫士
  木马杀客
  NOD32
  内核
  OD
  微点

  调用FindWindowA函数查找如下窗口 并试图调用PostMessageA函数向其发送WM_CLOSE指令 关闭窗口

Quote:
  AVP.AlertDialog
  AVP.Product_Notification
  AVP.Product_Noti

  调用cmd.exe 执行net stop sharedaccess命令 关闭Windows自带的防火墙服务

  C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程 
  利用svchost.exe执行下载木马操作
  
Code:
下载http://218.61.18.*/hao.exe
  http://218.61.18.*/wei.exe
  http://218.61.18.*/haowei.exe

  (ip地址为辽宁大连网通)

  到C:\Documents and Settings下面 并分别命名为servciesa.exe~servciesc.exe,下载间隔200ms
  

  测试中http://218.61.18.*/haowei.exe(servciesc.exe)链接已失效

  servciesa.exe为一感染下载者
  下载http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe,但下载链接已失效

  感染除以下文件夹下的exe文件
  
Quote:
WINDOWS
  WINNT
  RECYCLE
  System Volume Information
  Internet Explorer
  Outlook Express
  NetMeeting
  Common Files
  Messenger
  Windows Media Player
  WinRAR
  MSOCache
  Documents and Settings

  被感染文件被加入593字节的内容 图表不变 感染方式还得请高手来指教...

  servciesb.exe
  注册服务WindowsRemote 
  启动类型:自动
  显示名称:Windows Accounts Driver
  也是一个木马下载者 但下载链接失效

  病毒全部动作完毕以后,sreng日志如下:
  服务

Code:
[A GooD DownLoad    CAHW    / AnHao_VIP_CAHW][Running/Auto Start]

[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]

==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
  

手动解决方法:

  下载sreng 打开解压后运行srengps.exe

  “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

Code:
A GooD DownLoad    CAHW    / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote

  重启计算机

  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示

  确定更改时,单击“是” 然后确定
  点击    菜单栏下方的 文件夹按钮(搜索右边的按钮)

时间: 2024-09-20 00:17:35

autorun.inf和sbl.exe之U盘病毒的清除方法_病毒查杀的相关文章

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

autorun.inf+无法显示隐藏文件+病毒的清除方法_病毒查杀

情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex

microsoft.exe病毒与清除方法_病毒查杀

最近用超级兔子检测出可疑程序microsoft.exe,位于C:\WINDOWS\system32下,在进程里关了 后又出现在进程里,在安全模式下删了后,重起又有了!~~请问这个是病毒吗?microsoft - microsoft.exe - 进程信息  进程文件: microsoft 或者 microsoft.exe  进程名称: GAOBOT Virus www.sstorm.cn我们的永久域名!  进程名称: microsoft.exe是高波GAOBOT病毒相关程序.该病毒利用Window

conime.exe是什么附conime.exe病毒的清除方法_病毒查杀

非常郁闷的事情,最近conime.exe好像又红火起来了,早在2005年就有很多人问conime.exe是什么进程,是病毒吗? 1.conime.exe不一定是病毒,conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号.但也不排除是bfghost1.0远程控制后门程序(伪装成conime.exe输入法进程).此程序允许攻击者访问你的计算机,窃取密码和个人数据.建议立即删除此进程.  2.这里我们介绍下正常conime.exe进程的进程信息: 出品者: 微软 属于: M

AutoRun.wp(gg.exe)U盘木马清除方法_病毒查杀

文件名称:gg.exe 文件大小:65607 byte AV命名: Worm.Win32.AutoRun.wp  卡巴斯基 Worm.Delf.65607  金山毒霸 Win32.HLLW.Autoruner.548   Dr.WEB 加壳方式:未 编写语言:Microsoft Visual C++ 6.0 文件MD5:33d493af096ef2fa6e1885a08ab201e6 行为分析: 1.  释放病毒文件: C:\WINDOWS\gg.exe  65607 字节 2.  添加启动项:

各分区根目录释放shell.exe,autorun.inf 的病毒清除方法_病毒查杀

病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

wincfgs.exe病毒清除方法_病毒查杀

病毒文件:wincfgs.exe (c:\windows\system32\wincfgs.exe) 病毒名称:Trojanspy.USBpy.a 介绍:该病毒主要通过U盘传播,带毒的U盘中存在一个autorun.inf自动安装文件和一个回收站类似的文件夹,里面有一个 autorun.exe主文件和一个回收站图标,都是加了一些属性的,并且autorun.exe在windows下是无法显示的,你可以在DOS中用 dir /a命令来看到.  中毒机器上,会在windows目录下产生一个记事本图标的K

login.exe HGFS木马下载器的手动查杀方法_病毒查杀

样本信息:File: login.exe Size: 25428 bytes Modified: 2008年4月25日, 16:30:08 MD5: 9777E8C79312F2E3D175AA1F64B07C11 SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E CRC32: 5A562203 1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行 2.释放如下文件或者副本 %systemroot%\system32\Autoru

SysLoad3.exe木马病毒的分析及清除方法_病毒查杀

使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了.        特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!!  [b]二:以下是分析和手动清除方法:      昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的