- 积分
- 10838
- 威望
- 19537
- 元宝
- 1
- 铜钱
- 7534
        
|
1楼
发表于 2007-11-27 17:53
| 只看该作者
auto.exe病毒导致毒霸文件实时防毒变蓝的处理方法
才学疏浅,写的比较简单,分析的也不一定都正确,不值得高手一晒,希望指正,但应该比较适合于操作。1 l* E c4 c* I1 |
所用工具:金山清理专家2.1,SREng工具% @ ^% H3 k8 M7 c1 x7 ^0 a
* M+ d$ ~ K0 K. z* e* D! L6 j3 ?2 j病毒分析:auto.exe病毒运行后,会在%windows%\system32\目录下释放出随机8位的EXE病毒文件以及随机7位的DLL文件,并释放批处理删除自身%windows%\system32\del.bat。同时,它还在各磁盘分区释放auto.exe(即为病毒宿主文件)和autorun.inf病毒辅助文件。只要用户双击打开磁盘,病毒就再次被激活,此后,当用户使用U盘等移动存储器时,病毒便会将其传染。
( z3 T" N. x8 N. q, ]+ J8 k& {7 g# U& } 病毒运行成功后,会将更改系统日期,使部分依赖系统时间的杀软失效,大大降低用户系统的安全性;修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000001 dword:00000000 以达到隐藏文件属性目的;
B3 C) n' Z0 O+ {# Z" p+ Z- v添加注册表键值到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 使病毒以服务方式加载,并将dll注入到系统进程当中,连接远程服务器,下载大量其它病毒和木马。用户如果查看启动项,可发现新增了不少陌生的启动项。而通过任务管理器,也可发现很多异常进程。
图1-异常进程
(见图1)) ~& e6 n+ b% o! N- D
需要注意的是,在病毒下载的“帮凶”中,相当部分具有盗号功能,盗取的都是现今比较主流的大型网络游戏和即时通讯软件,如《传奇》、《大话西游2》、《梦幻西游》、《彩虹岛》、《QQ》、《QQ游戏》等。* ]0 r/ J$ n1 w7 Q1 b
* J" E$ A, r" c- c; @& F$ z
处理方法:; |) N7 K5 k8 ?2 h$ P' L
由于该病毒具有木马下载器的功能,所以系统会运行很慢,
图2-下载的木马病毒
(见图2)另外,鉴于该病毒采取服务方式加载,请进入安全模式清理操作(方法为:开机之后反复点击F8键)
% j0 q, p8 f* \7 m, l3 w隆重推荐金山清理专家的粉碎器功能,选择添加文件后浏览到system32目录下,使用查看-详细信息将文件按照时间排序(见图3). [) c, P: Y* z. G- A8 H
图3-查看文件详细信息
1 ]7 ?9 C# y: J9 Y6 \; G/ `. {; i这样就可以定位到这些病毒文件上,
图4-定位病毒文件
(见图4),粉碎器是可以支持批量添加的,按住ctrl键并选中这些病毒文件,就可以将其删除(见图5)
. a) Y# Z9 z2 w' V4 E( N3 F
图5-删除病毒文件
% u! F# I% ]: q! i: F b2 \之后再清理这些恶意软件,重启回到正常系统,基本上就大功告成了。, M6 T$ G! I2 E0 A8 I+ X
最后做一下扫尾工作:3 P! n" K1 T' @7 G5 ^9 @- _
1,修复显示隐藏文件,用sreng,见截图6;
$ Z& y2 O' F4 `! @4 n
. S) E8 i6 x m
/ f. p$ @2 t" _' c: H2,用清理专家关闭自动播放
/ y: m8 O: s) ?9 I$ x
|
与人相处之道,在于无限的容忍~~
╭⌒╮下雨了~ ¤ ╭⌒╮ ╭⌒╮
╭⌒╭⌒╮╭⌒╮~╭⌒╮︶︶, ︶︶
,︶︶︶︶,\'\'︶~~ ,\'\'~︶︶ ,\'\'
╱◥█◣ ╱◥█◣
︱田︱田︱︱田︱田︱ 周子茗
╬╬╬╬╬╬╬╬╬╬╬╬?wbr>p╬ |
|