Worm.Win32.AutoRun.bqn病毒分析解决_病毒查杀

一、病毒相关分析: 
      病毒标签:
        病毒名称:Worm.Win32.AutoRun.bqn 
        病毒类型:蠕虫
        危害级别:2
        感染平台:Windows
        病毒大小:21,504(字节)
        SHA1  :01015B9F9231018A58A3CA1B5B6A27C269F807E6
        加壳类型:PECompact V2.X-> Bitsum Technologies
        开发工具:Microsoft Visual Basic 5.0 / 6.0

     病毒行为:
        1、程序运行后,释放副本

      %SystemRoot%\EXPL0RER.EXE

     %SystemRoot%\autorun.inf

     autorun.inf内容:

 
Quote:
[autorun]
open=EXPL0RER.EXE
shell\open=打开(&O)
shell\open\Command=EXPL0RER.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=EXPL0RER.EXE 

根据文件夹名来感染生成 对应的 目录名.exe
然后添加文件夹属性为 只读,系统,隐藏。不显示隐藏文件的效果是真实的文件夹全没了。
你看到的文件夹图标的都是病毒,因为病毒的图标是文件夹。
篡改注册表,不显示隐藏文件、系统文件和扩展名。

注册表主要变化:

修改值:65 

Quote:
新 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"

新 HKLM\SOFTWARE\Classes\Directory\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Directory\shell\: "none"

新 HKLM\SOFTWARE\Classes\Drive\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Drive\shell\: "none"

新 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""

新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002

新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001

 

  二、解决方案

  下载使用 wsyscheck ,打开 wsyscheck.exe ,进程管理--结束病毒进程EXPL0RER.EXE并删除。

  1.SREng修复文件关联   系统修复--文件关联--全选--自动修复

  2.修复磁盘打开方式、文件夹打开方式

Quote:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]

3.显示系统文件、隐藏文件、显示隐藏文件夹

Quote:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

杀毒软件全盘扫描

使用第三方工具去掉各分区下被隐藏的文件夹,主要是去掉 系统属性

时间: 2024-09-29 02:24:29

Worm.Win32.AutoRun.bqn病毒分析解决_病毒查杀的相关文章

MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决_病毒查杀

文件名称:devic.exe 文件大小:23304 bytes AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok 加壳方式:未知 编写语言:VC 病毒类型:IRCbot 文件MD5:45de608d74ee4fb86b20da86dcbeb55c 行为分析: 1.释放病毒副本: C:\WINDOWS\devic.exe , 23304 字节 C:\WINDOWS\img5-2007.zip , 23456 字节 2.添加注册表,开机启动: HKEY

test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决_病毒查杀

此病毒为之前的梦中情人(暗号)病毒的最新变种 1.病毒运行后,释放如下文件或副本 %systemroot%\system32\config\systemprofile\vista.exe %systemroot%\system32\a.jpg %systemroot%\system32\Flower.dll %systemroot%\system32\vista.exe 各个分区下面释放test.exe和autorun.inf 2.通过查找software\Microsoft\Windows\C

fun.exe这个病毒在局域网如何有效的查杀

问题描述 fun.exe这个病毒在局域网如何有效的查杀 解决方案 解决方案二:http://download.csdn.net/detail/openeve/5017344fun.exedc.exesviq.exewin.exe专杀工具解决方案三:有用我去试试吧

各分区根目录释放shell.exe,autorun.inf 的病毒清除方法_病毒查杀

病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

“灯泡男”“神奇小子”(Win32.WizardBoy.a)病毒完整解决方案_病毒查杀

"前些天,电脑中了熊猫烧香,刚把'国宝'赶走没几天,今天上网下载了个小工具后,机器运行又开始变慢,有几个程序图标变成'帅哥'头像,眼睛比较突出象灯泡的样子,估计又中病毒了,真是郁闷!"用户陈先生无奈地表示. 金山毒霸反病毒专家戴光剑指出,这是一个名为"神奇小子"(Win32.WizardBoy.a)的感染型病毒,也有人叫"灯泡男"或"舞男头".该病毒可感染扩展名为exe和scr的可执行文件,并通过局域网传播,当网络可用时,病毒

1980病毒完整解决方案_病毒查杀

"最近发现个奇怪的现象,我的系统时间总被改成1980年,改回来后电脑又自动改回去了.我问了朋友,说是主板电池没电了,我买了新电池装上也没搞定,昨天竟然发现QQ被盗了."用户张先生无奈地表示. 金山毒霸反病毒专家戴光剑表示,最近类似张先生的遭遇比较多,病毒篡改系统时间,因为修改后的时间都是1980年,所以很多网友称之为"1980病毒".病毒调整系统时间的目的是关闭杀毒软件的监控功能,然后在后台下载灰鸽子运行,这样,你的机器就同时中了1980和灰鸽子两个病毒.感染灰鸽子

cdsdf.exe,kl.exe,explorcr.exe等病毒清除方法_病毒查杀

一:问题和症状: 中病毒,其它的病毒文件都好杀.就C:\WINDOWS\system32\cdsdf.exe杀毒软件杀不掉.用PowerRmv杀灭后抑制再生成也没有用.请帮忙解决 二:分析解决: 1. 杀毒前关闭系统还原(Win2000系统可以忽略): 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.  清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除

查杀rundllfromwin2000病毒的方法_病毒查杀

该程序原本系2000系统里的rundll.exe,被流氓恶意程序带着它改了名字到处乱转,就成了人见人恨东西了. 病毒表现为: IE主页被强制更改.系统不定期无原因自动重新启动.任务管理器中出现此进程等等. 查杀方法: 对于系统服务中出现WalALET的服务的,可以到注册表中删除,注册表位置: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WalALET] 描述:发送和接收局域网内部系统管理员或者"警报器"服务传递的消息. 显

infostealer.gampass病毒分析手动解决_病毒查杀

体问题具体分析.如下为本问题的解决方案 请仔细阅读,看懂后操作. 进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 1.关闭系统还原(Windows 2000系统可忽略该步) 2.强制删除如下的文件, 建议采用xdelbox 或者 powerRMV(可到down.45it.com 下载)等工具.如果提示某文件不存在,请忽略之继续填入下一个直到完成. c:\windows\system32\winasse.exe c:\windows\system32\ravdm.