autorun.inf和sbl.exe之U盘病毒的清除方法
autorun.inf和sbl.exe之U盘病毒的清除方法
发布时间:2016-12-26 来源:查字典编辑
摘要:病毒生成如下文件:Code:C:WINDOWSsystem321.infC:WINDOWSsystem32chostbl.exeC:WIND...

病毒生成如下文件:

Code:

C:WINDOWSsystem321.inf

C:WINDOWSsystem32chostbl.exe

C:WINDOWSsystem32lovesbl.dll

在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏

注册服务AnHao_VIP_CAHW指向C:WINDOWSsystem32chostbl.exe,达到开机启动的目的.

启动类型:自动

显示名称:AGooDDownLoadCAHW

调用TerminateProcess函数关闭如下进程

Code:

360safe.exe

360tray.exe

runiep.exe

avp.exe

调用GetWindowsTextA函数获得当前窗口标题,并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口

Quote:

卡卡

江民

金山

任务管理器

木马清道夫

木马克星

超级巡警

NOD32核心

安全

安全卫士

木马杀客

NOD32

内核

OD

微点

调用FindWindowA函数查找如下窗口并试图调用PostMessageA函数向其发送WM_CLOSE指令关闭窗口

Quote:

AVP.AlertDialog

AVP.Product_Notification

AVP.Product_Noti

调用cmd.exe执行netstopsharedaccess命令关闭Windows自带的防火墙服务

C:WINDOWSsystem32lovesbl.dll插入svchost.exe进程

利用svchost.exe执行下载木马操作

Code:

下载http://218.61.18.*/hao.exe

http://218.61.18.*/wei.exe

http://218.61.18.*/haowei.exe

(ip地址为辽宁大连网通)

到C:DocumentsandSettings下面并分别命名为servciesa.exe~servciesc.exe,下载间隔200ms

测试中http://218.61.18.*/haowei.exe(servciesc.exe)链接已失效

servciesa.exe为一感染下载者

下载http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe,但下载链接已失效

感染除以下文件夹下的exe文件

Quote:

WINDOWS

WINNT

RECYCLE

SystemVolumeInformation

InternetExplorer

OutlookExpress

NetMeeting

CommonFiles

Messenger

WindowsMediaPlayer

WinRAR

MSOCache

DocumentsandSettings

被感染文件被加入593字节的内容图表不变感染方式还得请高手来指教...

servciesb.exe

注册服务WindowsRemote

启动类型:自动

显示名称:WindowsAccountsDriver

也是一个木马下载者但下载链接失效

病毒全部动作完毕以后,sreng日志如下:

服务

Code:

[AGooDDownLoadCAHW/AnHao_VIP_CAHW][Running/AutoStart]

[WindowsAccountsDriver/WindowsRemote][Stopped/AutoStart]

==================================

Autorun.inf

[C:]

[autorun]

OPEN=sbl.exe

shellexecute=sbl.exe

shellAutocommand=sbl.exe

shell=open

[D:]

[autorun]

OPEN=sbl.exe

shellexecute=sbl.exe

shellAutocommand=sbl.exe

shell=open

...

手动解决方法:

下载sreng打开解压后运行srengps.exe

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,

选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

Code:

AGooDDownLoadCAHW/AnHao_VIP_CAHW

WindowsAccountsDriver/WindowsRemote

重启计算机

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示

确定更改时,单击“是”然后确定

点击菜单栏下方的文件夹按钮(搜索右边的按钮)

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类