爱毒霸社区 Kingsoft Internet Security  Forum

 找回密码
 注册

用新浪微博连接

一步搞定

QQ登录

只需一步,快速开始

查看: 28111|回复: 31

auto.exe病毒导致毒霸文件实时防毒变蓝的处理方法  关闭 [复制链接]

荣誉版主

与人相处之道在于无限的容忍

Rank: 22Rank: 22Rank: 22Rank: 22Rank: 22Rank: 22

铜钱
664928
元宝
2
威望
26824
积分
14762

花边社专享勋章

发表于 2007-11-27 17:53:42 |显示全部楼层
才学疏浅,写的比较简单,分析的也不一定都正确,不值得高手一晒,希望指正,但应该比较适合于操作。
5 y- k4 U5 V- }# n& k( a所用工具:金山清理专家2.1SREng工具
) C$ i8 Z/ P$ b4 o& J
! b- \& v' E: q$ V3 R: }% l病毒分析:auto.exe病毒运行后,会在%windows%\system32\目录下释放出随机8位的EXE病毒文件以及随机7位的DLL文件,并释放批处理删除自身%windows%\system32\del.bat。同时,它还在各磁盘分区释放auto.exe(即为病毒宿主文件)和autorun.inf病毒辅助文件。只要用户双击打开磁盘,病毒就再次被激活,此后,当用户使用U盘等移动存储器时,病毒便会将其传染。7 ~+ R0 f, y# z; l, h* l( S
病毒运行成功后,会将更改系统日期,使部分依赖系统时间的杀软失效,大大降低用户系统的安全性;修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL    CheckedValue    dword:00000001    dword:00000000
以达到隐藏文件属性目的;
+ ~3 h2 P: j' V3 ]* M: s添加注册表键值到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
使病毒以服务方式加载,并将dll注入到系统进程当中,连接远程服务器,下载大量其它病毒和木马。用户如果查看启动项,可发现新增了不少陌生的启动项。而通过任务管理器,也可发现很多异常进程。

图1-异常进程

图1-异常进程
(见图1)
7 d1 V' @- u& W# i- A 需要注意的是,在病毒下载的“帮凶”中,相当部分具有盗号功能,盗取的都是现今比较主流的大型网络游戏和即时通讯软件,如《传奇》、《大话西游2》、《梦幻西游》、《彩虹岛》、《QQ》、《QQ游戏》等。
) C* T) f+ Z" ]
  z1 O* Q- \! p! }$ g& g处理方法:. X$ w) h4 Y2 l2 k/ z9 F0 e
由于该病毒具有木马下载器的功能,所以系统会运行很慢,

图2-下载的木马病毒

图2-下载的木马病毒
(见图2)另外,鉴于该病毒采取服务方式加载,请进入安全模式清理操作(方法为:开机之后反复点击F8键)% \, N6 h5 i; y' l* C. C7 c
隆重推荐金山清理专家的粉碎器功能,选择添加文件后浏览到system32目录下,使用查看-详细信息将文件按照时间排序(见图3)2 @$ N/ Q& x# ?3 c

图3-查看文件详细信息

图3-查看文件详细信息
% U" n: Z( k0 I" [6 Y
这样就可以定位到这些病毒文件上,

图4-定位病毒文件

图4-定位病毒文件
(见图4),粉碎器是可以支持批量添加的,按住ctrl键并选中这些病毒文件,就可以将其删除(见图5)
6 V+ j! P9 B& j  d

图5-删除病毒文件

图5-删除病毒文件
1 ~* k3 I- U; N5 X9 C* [' Z
之后再清理这些恶意软件,重启回到正常系统,基本上就大功告成了。
& {# b9 V/ Z1 Q0 W6 z- j" q最后做一下扫尾工作:- W( `, X! K  y2 Y* V
1,修复显示隐藏文件,用sreng,见截图6;
; Z- G4 X5 R0 \9 ~) ^8 h sreng修复隐藏文件.JPG

$ V' a' @# Y1 z; o& V8 P
, g. Q" a$ ~7 T2,用清理专家关闭自动播放' s2 l- o. a( ?# u
Snag-8.JPG

Rank: 6Rank: 6

铜钱
635
元宝
0
威望
1022
积分
728

枣泥月饼 豆沙月饼 安全精英 毒霸MVP勋章 技术达人 电脑清理高手 安全大师 最拉风人物

发表于 2007-11-28 11:03:31 |显示全部楼层

毒霸变蓝色的处理思路

最近一个木马集中爆发,特征是在各个盘符下留下auto.exe和autorun.inf文件、毒霸实时监控变蓝手动启动也无法恢复。0 g5 n2 m8 y7 B
该病毒在系统目录留下木马下载器并下载大量木马,写入执行挂钩和BHO等。
+ L8 n  Y7 B( e$ c$ a/ q& V( O2 J/ T5 I% _4 D+ B, t/ C$ U
关于这个木马的处理,建议用户在http://buy.duba.net/download/index.shtml#kas. n( a1 t5 [9 W3 E* E* c
下载金山系统清理专家并升级至最新后,开机点击F8进入安全模式后运行清理专家中的恶意软件扫描。会扫描出类似信息,如图所示:9 X& l5 e% r& B
8 I( O9 \+ Q9 e6 P3 s5 q, x
; L+ Y" d$ M; D$ X$ `
处理完成后解压运行附件中的批处理文件Fix_BlueDB.bat即可清理此病毒常用的随机加载位置以及修复无法显示隐藏文件的问题。. T( y% ~; l- [' @2 I* c  c7 k

. V5 X7 E6 R+ P' ~重启计算机后升级毒霸到最新病毒库后安全模式全面杀毒即可。
( m" d0 ?  e/ ?* u5 D(由于此病毒频繁变种,如果无法处理烦请提交样本文件到可疑文件上传区以便毒霸升级处理。), C9 X# g! O) ~

" k  P3 c6 m$ c; G1 t[ 本帖最后由 papa 于 2007-11-28 11:25 编辑 ]

使用道具 举报

Rank: 1

铜钱
7
元宝
0
威望
11
积分
6

枣泥月饼 豆沙月饼

发表于 2007-11-28 12:22:29 |显示全部楼层

解压运行附件中的批处理文件Fix_BlueDB.bat

解压运行附件中的批处理文件Fix_BlueDB.bat            本人笨蛋说下怎么弄最好有图本人才17{8E}                    

使用道具 举报

Rank: 8Rank: 8

铜钱
1909
元宝
18
威望
3261
积分
1577

枣泥月饼 豆沙月饼

发表于 2007-11-28 12:25:45 |显示全部楼层
[进入毒霸论坛,您的问题,大家的答案]
[   Welcome Come To DuBa Forum  ! ]
爱毒霸社区将您的问题跟踪到底!

使用道具 举报

Rank: 1

铜钱
7
元宝
0
威望
11
积分
6

枣泥月饼 豆沙月饼

发表于 2007-11-28 12:28:34 |显示全部楼层
怎么<解压运行附件中的批处理文件Fix_BlueDB.bat>说下最好有图{8E}

使用道具 举报

金山工作人员

欢迎行摄

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

铜钱
219
元宝
0
威望
609
积分
286

枣泥月饼 豆沙月饼 安全精英 毒霸MVP勋章 技术达人 电脑清理高手 安全大师

发表于 2007-11-28 14:07:14 |显示全部楼层
双击后(就是解压)会到一个齿轮的图标,再双击就成了

使用道具 举报

Rank: 2

铜钱
76
元宝
0
威望
110
积分
53

枣泥月饼 豆沙月饼

发表于 2007-11-29 10:13:27 |显示全部楼层
我的另一台未上网的电脑通过U盘传染上病毒,应该怎么办,由于条件限制,那台电脑无法连接网线,可以用360删除插件,再用附件中的扫尾软件进行工作么?: R$ o% s+ e  z# Q, m
有什么手动操作?那台电脑上的毒霸仅升级到2007年6月…………9 _" |: m$ {8 C. I9 w+ S1 s
+ q0 O# j) f; S% h& y, [
[ 本帖最后由 2000xupeng 于 2007-11-29 02:53 编辑 ]

使用道具 举报

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

铜钱
878
元宝
0
威望
2550
积分
1202

枣泥月饼 豆沙月饼 安全精英 毒霸MVP勋章 技术达人 电脑清理高手 安全大师

发表于 2007-11-29 11:16:57 |显示全部楼层
如果中了此病毒....系统清理专家处理不了..可以通过短消息联系一下我...# c0 n* j/ A) C. S- i+ S
5 s1 E" [  o6 P; s  N/ U+ q( h. P) {
  谢谢..{123_082}

使用道具 举报

Rank: 1

铜钱
24
元宝
0
威望
39
积分
20

枣泥月饼 豆沙月饼

发表于 2007-12-1 00:33:54 |显示全部楼层

使用道具 举报

Rank: 1

铜钱
24
元宝
0
威望
39
积分
20

枣泥月饼 豆沙月饼

发表于 2007-12-1 01:02:41 |显示全部楼层
楼上的,我的图标也兰色的,系统总提醒"文件环境不完整,请升级或重新安装,通过不断的修复下,终于好了。
, w8 L4 `+ U8 p0 ^9 Z! F- Z( p' s' i: {( M7 s
[ 本帖最后由 小锋 于 2007-12-1 01:06 编辑 ]

使用道具 举报

Rank: 1

铜钱
50
元宝
0
威望
92
积分
42

枣泥月饼 豆沙月饼

发表于 2007-12-1 20:37:58 |显示全部楼层
伤害的总是我,木马的海洋{7E(2)} 杀不了就是杀不了,无言

使用道具 举报

Rank: 1

铜钱
21
元宝
0
威望
27
积分
13

枣泥月饼 豆沙月饼

发表于 2007-12-3 12:22:47 |显示全部楼层
{3F} {3F} {3F} 不行啊,我的怎么连安全模式都进不去了啊,出现一大片m开头的加载就黑屏了!怎么办啊急~!!!!{69}
已有 1 人评分威望 收起 理由
13302562248 + 1

总评分: 威望 + 1   查看全部评分

使用道具 举报

Rank: 2

铜钱
104
元宝
0
威望
112
积分
54

枣泥月饼 豆沙月饼

发表于 2007-12-3 17:45:40 |显示全部楼层
我的D盘里有那个autorun.inf文件夹,文件夹里是空的,但是怎么删除都删除不掉那个文件夹..........怎么 回事啊?//帮我!

使用道具 举报

上校

一个爱国分子

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

铜钱
201
元宝
271
威望
15385
积分
7119

枣泥月饼 豆沙月饼 星光奖 节庆图片奖

发表于 2007-12-3 17:59:16 |显示全部楼层

使用道具 举报

Rank: 13Rank: 13Rank: 13Rank: 13

铜钱
773
元宝
5
威望
8899
积分
4883

枣泥月饼 豆沙月饼 圣诞礼盒 私家小侦探

发表于 2007-12-5 00:52:40 |显示全部楼层

使用道具 举报

Rank: 1

铜钱
6
元宝
0
威望
124
积分
42

枣泥月饼 豆沙月饼

发表于 2007-12-17 15:14:47 |显示全部楼层
{5E(1)} {5E(1)} {5E(1)} 我看不懂啊!!!我家的也变绿了还有隐藏文件显示不了真着急

使用道具 举报

Rank: 1

铜钱
52
元宝
0
威望
54
积分
27

枣泥月饼 豆沙月饼

发表于 2007-12-27 08:25:34 |显示全部楼层
这东西可以手工删
. d9 x7 m9 \- T; }5 k
0 b$ i5 `1 o1 ~/ w9 W& `注册表先删服务项
6 M( o( ]- I% z, Z$ {) D- [) r$ \; a
Gpedit限制auto.exe$ {/ t' O) K0 O
" e; @2 R+ {) N% G6 g: u
重启后删硬盘文件,再不行进安全模式

使用道具 举报

上校

一个人

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

铜钱
266
元宝
28
威望
12085
积分
6864

枣泥月饼 豆沙月饼 幕后黑手 周刊评论员 最佳骨灰水友

发表于 2008-1-1 20:45:45 |显示全部楼层

使用道具 举报

Rank: 4

铜钱
279
元宝
0
威望
457
积分
216

枣泥月饼 豆沙月饼

发表于 2008-1-2 20:21:12 |显示全部楼层

使用道具 举报

Rank: 4

铜钱
279
元宝
0
威望
457
积分
216

枣泥月饼 豆沙月饼

发表于 2008-1-2 20:21:34 |显示全部楼层

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

Archiver|手机版|爱毒霸社区 ( 京ICP备10005744号 )  

GMT+8, 2012-2-10 03:17 , Processed in 0.097473 second(s), 25 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部