Worm.Win32.AutoRun.amf是什么病毒?
Worm.Win32.AutoRun 病毒标签 病毒名称: Worm.Win32.AutoRun.doc 病毒类型:蠕虫 病毒描述 该病毒属蠕虫类,判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当前进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日,复制自身到%HomeDrive%\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,并删除自身文件.感染explorer.exe,先在%Windir%asks\释放被感染的explorer.ext然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe,kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件,遍历固定磁盘和可移动磁盘,在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接网络下载大量病毒文件,经分析下载的大量病毒文件多为盗号木马,使用户的网络虚拟财产遭受损失。 行为分析 本地行为: 1、释放病毒文件到以下目录: %Windir%\Tasks\0x01xx8p.exe 9,032 字节 %Windir%\Tasks\spoolsv.ext %Windir%\Tasks\SysFile.brk 57,856 字节 2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当然进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日。 3、感染explorer.exe,先在%Windir%asks\释放被感染的explorer.ext 然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。 4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件。 5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接 http://444.e***.com/config.txt 下载大量病毒文件。 清除方案 1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
Worm.Win32.AutoRun 病毒标签
病毒名称: Worm.Win32.AutoRun.doc
病毒类型:蠕虫
文件 MD5: 476F8BA41F54238BA132DEC7B6C0B183
公开范围:完全公开
危害等级: 4
文件长度: 9,032 字节
感染系统: Windir98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述
该病毒属蠕虫类,判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当前进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日,复制自身到%HomeDrive%\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,并删除自身文件.感染explorer.exe,先在%Windir%asks\释放被感染的explorer.ext然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe,kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件,遍历固定磁盘和可移动磁盘,在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接网络下载大量病毒文件,经分析下载的大量病毒文件多为盗号木马,使用户的网络虚拟财产遭受损失。
行为分析
本地行为:
1、释放病毒文件到以下目录:
%Windir%\Tasks\0x01xx8p.exe 9,032 字节
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk 57,856 字节
2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当然进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日。
3、感染explorer.exe,先在%Windir%asks\释放被感染的explorer.ext 然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。
4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件。
5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接http://444.e***.com/config.txt下载大量病毒文件。
网络行为:
协议:TCP
端口:80
连接服务器名:http://444.e***.com/config.txt
IP地址:59.53.88.***
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
Random:
6287
Down:
http://444.kuk****.com/0/0.exe*
http://444.kuk****.com/0/1.exe*
http://444.kuk****.com/0/2.exe*
http://444.kuk****.com/0/3.exe*
http://444.kuk****.com/0/4.exe*
http://444.kuk****.com/0/5.exe*
http://444.kuk****.com/0/6.exe*
http://www.kuk****.com/0/7.exe*
http://444.kuk****.com/0/8.exe*
http://444.kuk****.com/0/9.exe*
http://444.kuk****.com/0/10.exe*
http://444.kuk****.com/0/11.exe*
http://444.kuk****.com/0/12.exe*
http://444.kuk****.com/0/13.exe*
FlipWEB:
*
SendGet:
*
InfeWeb:
*
NetBiosInfe:
1*
HDInfe:
0*
InfeExe:
0*
RemovInfe:
1*
RemovableDrive:
1*
FixedDrive:
1*
ReadTime:
50*
OpenSys:
1*
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理结束explorer.exe进程。
复制%system32%\dllcache目录下的explorer.exe文件替换%Windir%目录下的explorer.exe文件。
(2)强行删除病毒衍生的病毒文件:
%Windir%\Tasks\0x01xx8p.exe
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk
%HomeDrive%\MSDOS.bat
%HomeDrive%\autorun.inf
%DriveLetter%\MSDOS.bat
%DriveLetter%\autorun.inf
(3)强行删除病毒衍生的病毒文件(注:该病毒下载的病毒列表可能会随时变化)
%system32%\config\mscg13.exe
%system32%\drivers\2h9k6qwl.sys
%system32%\drivers\bs2pmzbdm.sys
%system32%\fo18.dll
%system32%\2.ext
%system32%\inf\mscg13.exe
%system32%\3.ext
%system32%\ThunderBHONew14.dll
%system32%\4.ext
%system32%\2ba.dll
%system32%\b79a.dll
%system32%\79e7a.exe
%WINDIR\MayaGirl\MayaGirlMain.exe
%WINDIR\033.exe
%WINDIR\f9a.bmp
%WINDIR\91ba.exe
%WINDIR\1b60a.txt
但找到两个相类似的
1、Worm.Win32.AutoRun.ag 查杀
http://www.shadukey.com/html/shoudongshadu/20080505/474.html
病毒标签:
病毒名称: Worm..ag
中文名称: AutoRun蠕虫
病毒类型: 蠕虫类
文件 MD5: E3C42777C667D65D710FC9409011BD9A
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前26,220 字节,脱壳后151,552 字节
感染系统: Windows9x以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,连接网络下载病毒体到本机运行,添加
注册表启动项、修改映象劫持项与LSP项以导病毒体。删除注册表安全模式相关项,以阻止
用户访问安全模式。注入病毒.dll文件与.sys文件到多个进程,以获取游戏账号信息。病
毒通过在移动设备中衍生副本及Autorun.inf文件传播自身。
--------------------------------------------------------------------
行为分析:
本地行为:
1、文件运行后会衍生副本:
%Program Files%\meex.exe 26,220 字节
%system32%\avwlcst.exe 14,970 字节
%system32%\avzxdst.exe 15,045 字节
%system32%\kaqhfaz.exe 13,988 字节
%system32%\kvdxdis.exe 14,387 字节
%system32%\kvdxscis.exe 13,919 字节
%system32%\kvmxeis.exe 14,322 字节
%system32%\rarjbtl.exe 14,474 字节
%system32%\rsmyesp.exe 15,040 字节
%system32%\addrgjhelp.dll 8,714 字节
%system32%\addrwdhelp.dll 8,265 字节
%system32%\addrz_thelp.dll 9,362 字节
%system32%\avwlcin.dll 57 字节
%system32%\avzxain.dll 57 字节
%system32%\kaqhfcs.dll 55 字节
%system32%\kvdxacf.dll 48 字节
%system32%\kvdxsacf.dll 50 字节
%system32%\kvmxecf.dll 53 字节
%system32%\qdshm.dll 9,264 字节
%system32%\rarjani.dll 54 字节
%system32%\rsmyafg.dll 56 字节
%Program Files%\Common Files\System\udchniv.exe 26,220 字节
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe 26,220 字节
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.inf
%Program Files%\ Internet Explorer\PLUGINS\WinSys8s.Sys 45,199 字节
%Program Files%\ Internet Explorer\PLUGINS\SysWin7s.jmp 32,399 字节
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: hpbnijr
字符串:"%Program Files%\Common Files\System\udchniv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: pefbutr
字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{08E909A4-B236-48DD-8BCC-90A604B93E68}
键值: ""
字符串:"hook tl"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{2598FF45-DA60-F48A-BC43-10AC47853D52}
键值: ""
字符串: "rarjbpi.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3960356A-458E-DE24-BD50-268F589A56A3}
键值: ""
字符串: "avwlcmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3D561258-45F3-A451-F908-A258458226D3}
键值: ""
字符串: "kvdxscma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4859245F-345D-BC13-AC4F-145D47DA34F4}
键值: ""
字符串: "avzxdmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4C87A354-ABC3-DEDE-FF33-3213FD7447C4}
键值: ""
字符串: "kvdxdma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5D47B341-43DF-4563-753F-345FFA3157D5}
键值: ""
字符串: "kvmxema.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5E32FA58-3453-FA2D-BC49-F340348ACCE5}
键值: ""
字符串: "rsmyepm.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{67D81718-1314-5200-2597-587901018076}
键值: ""
字符串: "kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-B236-48DD-8BCC-90A604B93E68}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\tldoor0.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-48DD-8BCC-B236-90A604B93E68}\
键值: daExeModuleName
字符串: "C:\DOCUME~1当前用户名\LOCALS~1\Temp\13222.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{67D81718-1314-5200-2597-587901018076}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{774D414D-9457-4707-9730-662C4F8D2856}\InProcServer32\@
键值: @
字符串: "%Program Files%\Internet Explorer\PLUGINS\WinSys8s.Sys"
3、新增注册表下列映象劫持项
5、删除的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
网络行为:
连接网络下载病毒体:
www.54***.cn/xzz/0603.exe(220.166.64.***)
74.54***.cn /yx/11.exe(220.166.64.***)
74.54***.cn /yx/13.exe (220.166.64.***)
www.54***.cn/xzz/0603.exe (220.166.64.***)
--------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天免费安全工具ATool多选下列进程,结束:
udchniv.exe
atthdop.exe
avwlcst.exe
kvdxscis.exe
kaqhfaz.exe
kvdxdis.exe
rsmyesp.exe
rarjbtl.exe
kvmxeis.exe
(2打开注册表编辑器,修改下列册表键值为旧值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\Windows\
AppInit_DLLs
New: 字符串: "rarjbpi.dll"
Old: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\Type
New: 字符串: "checkbox2"
Old: 字符串: "checkbox"
(3) 使用ATool >>工具>>搜索DLL功能, 搜索qdshm.dll,
卸载所有含有此病毒dll的进程。
(4) 打开“文件夹选项”,打开隐藏文件选项如下列状态之后,
删除病毒文件或使用ATool直接删除病毒文件:
(5)删除病毒文件:
%Program Files%\meex.exe
%Program Files%\Common Files\System\udchniv.exe
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.in
%system32%\avwlcst.exe
%system32%\avzxdst.exe
%system32%\kaqhfaz.exe
%system32%\kvdxdis.exe
%system32%\kvdxscis.exe
%system32%\kvmxeis.exe
%system32%\rarjbtl.exe
%system32%\rsmyesp.exe
%system32%\addrgjhelp.dll
%system32%\addrwdhelp.dll
%system32%\addrz_thelp.dll
%system32%\avwlcin.dll
%system32%\avzxain.dll
%system32%\kaqhfcs.dll
%system32%\kvdxacf.dll
%system32%\kvdxsacf.dll
%system32%\kvmxecf.dll
%system32%\qdshm.dll
%system32%\rarjani.dll
%system32%\rsmyafg.dll
(6)删除病毒添加注册表项,依据行为分析2、3项。
(7)同步骤3卸载WinSys8s.Sys,接着删除%Program Files%
\ Internet Explorer\PLUGINS\WinSys8s.Sys
(8)复制下列文本,保存为.reg格式,双击导入,
以修复安全模式注册表键:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
2、Worm.Win32.AutoRun.dg
太长了,不转载了,详情请查看
http://www.shadukey.com/html/shoudongshadu/20080505/484.html
Worm.Win32.AutoRun.ag 查杀
http://www.shadukey.com/html/shoudongshadu/20080505/474.html
病毒标签:
病毒名称: Worm..ag
中文名称: AutoRun蠕虫
病毒类型: 蠕虫类
文件 MD5: E3C42777C667D65D710FC9409011BD9A
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前26,220 字节,脱壳后151,552 字节
感染系统: Windows9x以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,连接网络下载病毒体到本机运行,添加
注册表启动项、修改映象劫持项与LSP项以导病毒体。删除注册表安全模式相关项,以阻止
用户访问安全模式。注入病毒.dll文件与.sys文件到多个进程,以获取游戏账号信息。病
毒通过在移动设备中衍生副本及Autorun.inf文件传播自身。
--------------------------------------------------------------------
行为分析:
本地行为:
1、文件运行后会衍生副本:
%Program Files%\meex.exe 26,220 字节
%system32%\avwlcst.exe 14,970 字节
%system32%\avzxdst.exe 15,045 字节
%system32%\kaqhfaz.exe 13,988 字节
%system32%\kvdxdis.exe 14,387 字节
%system32%\kvdxscis.exe 13,919 字节
%system32%\kvmxeis.exe 14,322 字节
%system32%\rarjbtl.exe 14,474 字节
%system32%\rsmyesp.exe 15,040 字节
%system32%\addrgjhelp.dll 8,714 字节
%system32%\addrwdhelp.dll 8,265 字节
%system32%\addrz_thelp.dll 9,362 字节
%system32%\avwlcin.dll 57 字节
%system32%\avzxain.dll 57 字节
%system32%\kaqhfcs.dll 55 字节
%system32%\kvdxacf.dll 48 字节
%system32%\kvdxsacf.dll 50 字节
%system32%\kvmxecf.dll 53 字节
%system32%\qdshm.dll 9,264 字节
%system32%\rarjani.dll 54 字节
%system32%\rsmyafg.dll 56 字节
%Program Files%\Common Files\System\udchniv.exe 26,220 字节
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe 26,220 字节
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.inf
%Program Files%\ Internet Explorer\PLUGINS\WinSys8s.Sys 45,199 字节
%Program Files%\ Internet Explorer\PLUGINS\SysWin7s.jmp 32,399 字节
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: hpbnijr
字符串:"%Program Files%\Common Files\System\udchniv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: pefbutr
字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{08E909A4-B236-48DD-8BCC-90A604B93E68}
键值: ""
字符串:"hook tl"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{2598FF45-DA60-F48A-BC43-10AC47853D52}
键值: ""
字符串: "rarjbpi.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3960356A-458E-DE24-BD50-268F589A56A3}
键值: ""
字符串: "avwlcmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3D561258-45F3-A451-F908-A258458226D3}
键值: ""
字符串: "kvdxscma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4859245F-345D-BC13-AC4F-145D47DA34F4}
键值: ""
字符串: "avzxdmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4C87A354-ABC3-DEDE-FF33-3213FD7447C4}
键值: ""
字符串: "kvdxdma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5D47B341-43DF-4563-753F-345FFA3157D5}
键值: ""
字符串: "kvmxema.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5E32FA58-3453-FA2D-BC49-F340348ACCE5}
键值: ""
字符串: "rsmyepm.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{67D81718-1314-5200-2597-587901018076}
键值: ""
字符串: "kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-B236-48DD-8BCC-90A604B93E68}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\tldoor0.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-48DD-8BCC-B236-90A604B93E68}\
键值: daExeModuleName
字符串: "C:\DOCUME~1当前用户名\LOCALS~1\Temp\13222.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{67D81718-1314-5200-2597-587901018076}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{774D414D-9457-4707-9730-662C4F8D2856}\InProcServer32\@
键值: @
字符串: "%Program Files%\Internet Explorer\PLUGINS\WinSys8s.Sys"
3、新增注册表下列映象劫持项
5、删除的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
网络行为:
连接网络下载病毒体:
www.54***.cn/xzz/0603.exe(220.166.64.***)
74.54***.cn /yx/11.exe(220.166.64.***)
74.54***.cn /yx/13.exe (220.166.64.***)
www.54***.cn/xzz/0603.exe (220.166.64.***)
--------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天免费安全工具ATool多选下列进程,结束:
udchniv.exe
atthdop.exe
avwlcst.exe
kvdxscis.exe
kaqhfaz.exe
kvdxdis.exe
rsmyesp.exe
rarjbtl.exe
kvmxeis.exe
(2打开注册表编辑器,修改下列册表键值为旧值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\Windows\
AppInit_DLLs
New: 字符串: "rarjbpi.dll"
Old: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\Type
New: 字符串: "checkbox2"
Old: 字符串: "checkbox"
(3) 使用ATool >>工具>>搜索DLL功能, 搜索qdshm.dll,
卸载所有含有此病毒dll的进程。
(4) 打开“文件夹选项”,打开隐藏文件选项如下列状态之后,
删除病毒文件或使用ATool直接删除病毒文件:
(5)删除病毒文件:
%Program Files%\meex.exe
%Program Files%\Common Files\System\udchniv.exe
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.in
%system32%\avwlcst.exe
%system32%\avzxdst.exe
%system32%\kaqhfaz.exe
%system32%\kvdxdis.exe
%system32%\kvdxscis.exe
%system32%\kvmxeis.exe
%system32%\rarjbtl.exe
%system32%\rsmyesp.exe
%system32%\addrgjhelp.dll
%system32%\addrwdhelp.dll
%system32%\addrz_thelp.dll
%system32%\avwlcin.dll
%system32%\avzxain.dll
%system32%\kaqhfcs.dll
%system32%\kvdxacf.dll
%system32%\kvdxsacf.dll
%system32%\kvmxecf.dll
%system32%\qdshm.dll
%system32%\rarjani.dll
%system32%\rsmyafg.dll
(6)删除病毒添加注册表项,依据行为分析2、3项。
(7)同步骤3卸载WinSys8s.Sys,接着删除%Program Files%
\ Internet Explorer\PLUGINS\WinSys8s.Sys
(8)复制下列文本,保存为.reg格式,双击导入,
以修复安全模式注册表键:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
2、Worm.Win32.AutoRun.dg
我现在自己已经找到方法了啊
你的机器被一个名叫Iexplorer.exe的病毒感染,杀毒后硬盘就再也不能双击打开了,只能右击盘符,然后才能打开!!同时默认的打开方式也由原来的“打开”变成了“自动播放”!
相信不少朋友也许有相同的经历。为了解决大家的不便,本人现将解决方案发布于下,同时诚望各位大虾们批评斧正!!
首先,点击“开始”菜单,打开“运行”(这个好像没有不知道的吧!!)
键入regedit打开注册表。
然后依次展开下列项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
将子目录下所有带加号“+”的项依次展开,如果发现有一项叫做“command”的这就是被病毒篡改过的了。正常模式下这一项应该为“DropTarget”。
解决方案很简单,只需把“病变”的项从“AutoRun”(注意是从“AutoRun”)往下全部删除即可。
现在打开一下心爱的硬盘看看,是不是OK了???一切就是这么简单!!
寒假发作的病毒
0 Worm.WhBoy.h 蠕虫 熊猫烧香 这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程 1:拷贝文件 病毒运行后,会把自己拷贝到 C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 2:添加注册表自启动 病毒会添加自启动项 HKEY_CURRENT_USER\\Softwa...
电脑玩着玩着蓝屏了还有一些英文字母,看不懂,请问这是哪里的问题...
分析原因:朋友,你好!从上面蓝屏的代码syop 0 ×0000008E(8×C0000005,0×BF8035B1,0×A918EC80,0×00000000)来看有可能二个原因:第一个原因:是内存或者显卡金手指被氧化了,造成这个内存和内存槽接触不良,显卡和显卡槽接触不良,引起的硬件不兼容现象,而导至的蓝屏现象。处理方法:你可以先断电,...
qqpatorm.exe 是什么东西啊!~在c盘,大小11,.4m
这个是个木马
(悬赏100分)trojan-downloader这个病毒怎...
这样此木马就清除掉了,不过如果杀毒软件报告木马不是在 %windir%\\Downloaded Program Files 目录下而是在 “系统目录:\\Documents and Settings\\Administrator\\Local Settings\\Temporary Internet Files\\Content.IE5\\...” 目录下(如果您的win2000\/nt\/xp安装在C盘则就是 C:\\Documents and Settings\\...
任务管理器中进程里面的哪些进程是可以关闭的,来省出内存
描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。是否为系统进程: 是snmp.exe进程文件: snmp or snmp.exe进程名称: Microsoft SNMP Agent描述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分是否为系统进程: 是spool...
Python核心编程的图书目录
第1部分 Python核心第1章 欢迎来到Python世界第2章 快速入门第3章 Python基础第4章 Python对象第5章 数字第6章 序列:字符串、列表和元组第7章 映像和集合类型第8章 条件和循环第9章 文件和输入输出第10章 错误和异常第11章 函数和函数式编程第12章 模块第13章 面向对象编程第14章 ...
那位高手帮我写个开机自动检测某个进程并关闭些进程的VBS!
'''on error resume next killname="stormliv.exe" '要kill的进程名字,如果有多个请用"|"分割开 kill=Split(killname,"|")call kl Private Sub kl()for each ps in getobject("winmgmts:\\\\.\\root\\cimv2:win32_process").instances_for each name in kill if LCase(ps.name)=LCase(name...
cha.exe、toptwo.exe中毒
进行如下操作前 请不要进行任何双击磁盘打开的操作。下载的工具直接放到桌面上,切记切记!!!2.用强制删除工具 PowerRMV 下载地址: http:\/\/post.baidu.com\/f?kz=158203765 分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 C:\\WINDOWS\\system32\\drivers\\spoclsv.exe C:...
我中了熊猫烧香病毒,杀过的进来
熊猫烧香分析 运行样本..释放文件 C:\\WINDOWS\\system32\\drivers\\spo0lsv.exe 创建启动项 [software\\microsoft\\windows\\currentversion\\run]"svcshare"="C:\\WINDOWS\\system32\\drivers\\spo0lsv.exe"修改 显示文件和文件夹 注册表 [software\\microsoft\\windows\\currentversion\\explorer\\advanced\\folder\\hidden\\...
任务管理器哪些可以结束进程
QQ.EXe 这是qq我不用多说了 。。。360se。exe 这个是 360浏览器 可以结束 360sd.exe 这个是360 的杀毒软件 可以结束 这个进程想在开机就不运行的话可以 打开360杀毒点设置,其他设置,取消掉启动windows时自动运行 nvsvc32.exe 这个是显卡的进程 可以结束 这个点开始运行 输入 services...
冷禄刻免: 了这类病毒后,各个分区的根目录下都会生成一个隐藏属性的Autorun.inf文件,双击打开“我的电脑”,点击“工具”,再点击“查看”,去掉“隐藏受保护的操作系统文件”及选中“显示所有文件和文件夹”,再点“确定”把所有的隐藏属...
城中区18896236677: Worm.Win32.Autorun.a是什么病毒啊? - ?
冷禄刻免: 先试试下面的办法,然后再到安全模式下用杀软全盘查杀 在资源管理器里选择“工具--文件夹选项--查看”,勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾. 1 如果各分区根目录下除autorun.inf外还有什么其它隐藏...
城中区18896236677: Worm.Win32.Autorun.jan是个什么样的病毒以及如何彻底清理??
冷禄刻免: 病毒标签 病毒名称: Worm.Win32.Autorun.ery 病毒类型:蠕虫 文件 MD5: 476F8BA41F54238BA132DEC7B6C0B183 公开范围:完全公开 危害等级: 4 文件长度: 9,032 字节 感染系统: Windir98以上版本 开发工具: Microsoft Visual C++ ...
城中区18896236677: worm.win32.autorun.hre是什么病毒 - ?
冷禄刻免: worm.win32.autorun.hre,从名称上看是一个蠕虫病毒!先建议楼主去360官方站点下载360系统急救箱(绿色免安装),然后先查杀一下看看能否解决问题!若还是无法解决问题,请楼主按以下步骤进行处理: 清空IE临时文件夹; 清空系统临...
城中区18896236677: Worm.Win32.AutoRun.aeax是什么样的病毒??
冷禄刻免: Worm代表蠕虫类 Win32代表感染windows系统32位的 AutoRun病毒类型 aeax代表变种类型
城中区18896236677: 病毒名称为:Worm.win32.Autorun.eyr是什么病毒?怎样杀死它?谢谢!?
冷禄刻免: 清理办法由卡巴斯基上海代理上海永在整理收集 Worm.Win32.Autorun.eyr清理方法 Worm.Win32.Autorun.eyr木马病毒是11.30开始由瑞星杀毒软件查出的一种新型木马病毒,这是一个新型的一个U盘蠕虫病毒,该病毒的症状如下:当在U盘建立...
城中区18896236677: Worm.Win32.Autorun.epo是一个什么病毒?如何查杀??
冷禄刻免: Worm.Win32.Autorun.epo是一个什么病毒?如何查杀? 今年木马特别多的,一种杀毒软件可能杀不了有些病毒的 (落地风筝原创,复制可耻) 首先开机按F8进入安全模式,用360安全卫士和360专杀大(http://www.360.cn下载),windows 清理助手和恶意软件清理助手(这两个到多特下,绝对没有病毒),汉化的AVG Anti-Spyware7.5.1.43http://www.17ai.org.cn/qt/avg.htm联合查杀,如果不行,在360软件界面中下载专杀工具哦,一般会解决的 ,以上都是完全免费的
城中区18896236677: 谁能给我介绍一下Worm.Win32.Autorun.eyr这个病毒.有什么危害??
冷禄刻免: Worm.Win32.AutoRun 该病毒为蠕虫病毒 该病毒属蠕虫类.病毒运行后复制自身到%System32%及附属目录下;复制自身到C至K盘的根目录下,并衍生autorun.inf文件,使病毒在双击打开盘符时运行;在当前用户的临时文件夹下,衍生rs.bat文件;遍历进程列表,关闭指定的进程;尝试关闭标题中含有指定字符串的活动窗口;修改注册表,添加两处启动项,创建一项服务,锁定隐藏文件的显示方式,使用户无法通过“文件夹选项”显示隐藏文件;程序运行过程中,由于自身问题会弹出错误对话框,使器根目录在打开时,将无法打开只弹出该对话框;程序运行后尝试删除自身.连接网络下载文件,但所有文件都已经无法下载.
城中区18896236677: Worm.Win32.AutoRun.ou是什么病毒? 怎么查杀呀??
冷禄刻免: U盘蠕虫. 手动删除也很简单, 每个根目录下,都有AUTORUN.INF 和一个可执行文件. 删了, 就完事了!! 不能直接双击打开分区. 要用右键, 资源管理器,打开!! 去掉显示隐藏
城中区18896236677: Worm.Win32.Autorun.fvg是什么病毒 - ?
冷禄刻免: 这个病毒是蠕虫系列变种;你把网络断开;重新启动一下电脑;记住在启动之前一下一下按F8选择进入安全模式;然后用你电脑上的杀毒软件杀毒;就能把病毒杀掉了.
