U盘病毒vistaAA.exe的手动查杀方法_病毒查杀

Modified: 2008年5月8日, 18:52:32
MD5: 7009AC302C6D2C6AADEDE0D490D5D843
SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E
CRC32: DCE5AE5A

病毒运行后:
1.释放一个sbl.sys到%system32%\drivers下面,并拷贝一份覆盖beep.sys,之后加载该驱动,恢复SSDT钩子,导致某些杀毒软件的主动防御功能失效。

2.结束很多杀毒软件和安全工具的进程
诸如:

Quote:
360rpt.exe
360Safe.exe
360tray.exe
avp.com
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
Rav.exe
RavMon.exe
RavMonD.exe
...

3.复制自身到\config\systemprofile\下和%system32%下面

4.启动一个IE进程,连接网络
到http://***.kjxs.com/tj.asp进行感染统计

下载http://***.kjxs.com/liehuo.rar到%system32%\Contxt.dat 该文件应该是需要下载的木马列表
但链接已经失效

5.映像劫持很多杀毒软件和安全工具和其他一些流行病毒:

Quote:
360rpt.exe
360Safe.exe
360tray.exe
45.exe
5784dfgi.exe
adam.exe
AgentSvr.exe
appdllman.exe
AppSvc32.exe
auto.exe
AutoRun.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
cross.exe
dfcxfg.exe
Discovery.exe
FileDsty.exe
FTCleanerShell.exe
FuckAAAAAAA.exe
guangd.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
kernelwind32.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
logogo.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
pagefile.exe
pagefile.pif
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
regedit.Exe
regedit32.Exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
SDGames.exe
servet.exe
shcfg32.exe
SmartUp.exe
sos.exe
SREng.exe
SSDtDiscovery.exe
symlcsvc.exe
SysSafe.exe
taskmgr.exe
TNT.Exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
TxoMoU.Exe
U.exe
UFO.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
USBoot.exe
WoptiClean.exe
Wsyscheck.exe
XP.exe
xxxdgfdfg.exe
zxsweep.exe
~.exe

6.创建注册表启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoveHebeAA><C:\WINDOWS\system32\vistaAA.exe>
达到开机启动自身的目的

7.创建一个计时器每1800秒启动一次病毒本身

清除方法:

1.重启计算机 进入
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng:
启动项目  注册表 删除如下项目 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoveHebeAA><C:\WINDOWS\system32\vistaAA.exe>

删除所有红色的IFEO项目

2.删除如下文件C:\WINDOWS\system32\vistaAA.exe

3.使用杀毒软件清除病毒下载的其他木马

时间: 2024-11-02 03:27:39

U盘病毒vistaAA.exe的手动查杀方法_病毒查杀的相关文章

中了桌面上的ie.exe的解决方法_病毒查杀

目前杀毒软件还不能彻底清除  病毒除了在C盘产生病毒文件IE.EXE等等外,会修改游戏启动文件 如原文件名是 jxonline.exe 病毒就改了原来的文件名成为 jxonline~.exe,然后生成感染病毒的jxonline.exe  在第8次重装完系统后终于. 当我装好系统,心想终于可以玩游戏了,  结果一运行游戏,马上防火墙就检测到有一堆不知道那里冒出来的程序要求访问网络,接着就不断的弹出一大堆广告网业,主业跟着被修改.且每次重新打开IE主业都被改一次(厉害,主业也做到自动切换)   救命

关于rundl132.exe vidll.dll LOGO1.exe 的清除方法_病毒查杀

最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧. 1.打开系统的"显示隐藏文件"并下载相应的杀毒软件和 维金EXE修复工具 (重要) 2.查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马.可以用tskill 来结束这些进程. 3.找到木马所在的路径并删除,然后新建一个同名文件,并

login.exe HGFS木马下载器的手动查杀方法_病毒查杀

样本信息:File: login.exe Size: 25428 bytes Modified: 2008年4月25日, 16:30:08 MD5: 9777E8C79312F2E3D175AA1F64B07C11 SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E CRC32: 5A562203 1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行 2.释放如下文件或者副本 %systemroot%\system32\Autoru

清除MDM.EXE木马的方法_病毒查杀

在我的C盘WINDOWS根目录下多了一个MDM.EXE文件,每次删除之后会自动生成,并产生一个名为SVCHOST的进程,而且自从中了这个以后,我的所有文件夹都不可见了,即使在设置中选择"显示所有文件和文件夹",关掉"隐藏受保护的系统文件"也没用.这是怎么回事?  这个病毒我昨天遇倒了!最后问题解决了(当然不是格式化硬盘哈)  中了这个病毒以后,在各个分区的根目录下会生成两个文件,分别是autorun.inf 和ravmon.exe(这个文件比较大的)并且属性为隐藏属

SysLoad3.exe木马病毒的分析及清除方法_病毒查杀

使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了.        特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!!  [b]二:以下是分析和手动清除方法:      昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的

一个不错的清除winsmd.exe木马的方法_病毒查杀

我最近好像是中了病毒了,在任务管理器的进程中可以找到一个vktserv.exe进程,我用高级的任务管理器工具找到了这个文件与"C:\WINDOWS\system32\winsmd.exe"和"C:\WINDOWS\system32\vktserv.exe"有关联.我用msconfig打开系统的启动标签也发现了"winsmd.exe".我在网上搜了一下,好像有人说这是一个病毒,我想问问你这是不是一个病毒呢,如果是我该如何清除呢?  答:你中了win

Windows提示找不到文件“chkfat.exe”的解决方法_病毒查杀

尽管已经中毒,但卡巴斯基对这一个进程,一个文件,只能循环连续地报毒,再报杀毒成功,一个chkfat.exe需要重启后删除.          在msconfig启动中关了可疑进程后,重启卡巴斯基提示仍然!察看进程仍可以看到chkfat.exe的运行.结束进程后它随即又启动,卡巴斯基提示仍然!          在window的system32中找到chkfat.exe文件,用unlocker删除,按提示重启电脑,在再开机后弹出提示说,Windows找不到文件"chkfat.exe",请

灰鸽子引起的多个IEXPL0RE.EXE的清除方法_病毒查杀

1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.  清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除.  关闭QQ等应用程序.进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上.  2.用强制删除工具 PowerRMV  分别填入下面的文件(包括完整的路径) ,勾选&q

winsys16_070307.dll,WindowsUpdate.exe的清除方法_病毒查杀

一.提问: IE有被劫持,Userinit.exe被改了(日志略) 二.分析 1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.   清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除. 关闭QQ等应用程序.进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 2.用强制删