返回列表 回复 发帖
papa

中将(版主)

积分
722 
威望
1012  
元宝
0  
铜钱
630  

最拉风人物
1
打印
tT
发表于 2007-12-3 13:58 | 只看该作者

手把手带你处理一个黑吃黑的“AV”病毒(Win32.Troj.Autorun.ur.90112)

Autorun, 手把手
带你手动处理一个黑吃黑的“AV”病毒,毒霸检测为:Win32.Troj.Autorun.ur.90112

中该病毒后运行清理专家无反应,运行SReng的会有如下报错信息:
sreng报错.JPG
2007-12-3 13:58


关于这个病毒的简单分析:
释放并利用%systemroot%\system32\snowfall.exe进行劫持;
在各个盘符留下主文件snow.exe和Autorun.inf;
劫持大量杀毒软件以及包括金山清理专家在内的安全辅助工具。

比较有趣的一点是该病毒会劫持同样是利用autorun传播并劫持大量杀软的“恐怖鸡感染号”的一个早期主文件xp.exe,以便达到自己能够单独在用户主机上面逞凶的目的。
AV类病毒黑吃黑尚属首例,该病毒劫持其他的流行病毒和系统文件包括:auto.exe、autorun.exe、sos.exe、UPO.exe、taskmgr.exe(任务管理器)释放并下载大量恶意软件。

“恐怖鸡感染号”的相关信息以及处理方法参考:
http://bbs.duba.net/thread-21853226-1-1.html


关于这个病毒的处理在正常模式是无法进行的,因为进程中存在snowfall.exe会监视杀软以及清理专家窗口。

可以按照如下步骤处理:
1.重启后按F8进入安全模式
2.找到金山系统清理专家的目录将清理专家主程序kasmain.exe改名。如图所示:
清理专家改名.JPG
2007-12-3 13:58



注:如果你进入安全模式就迫不及待地运行清理专家的话,那么已经可以再度重启了。因为病毒劫持清理专家到%systemroot%\system32\snowfall.exe直接运行清理专家的话会启动此进程。

3.运行清理专家的文件粉碎器添加病毒文件进行批量粉碎

粉碎AV文件.JPG
2007-12-3 13:58


4.运行清理专家的恶意软件扫描,全选清理恶意软件已经autorun.inf文件
清理恶意软件和autorun.JPG
2007-12-3 13:58


5.重启后关闭系统还原功能,升级毒霸到最新后进行全面杀毒清理其他病毒木马
6.修复全部映像劫持以及修正文件夹选项

修复文件夹选项和影响劫持的小工具以及清理专家杀毒相关使用教程参考:
http://bbs.duba.net/thread-21849402-1-1.html

[ 本帖最后由 papa 于 2007-12-3 14:10 编辑 ]
收藏 分享 评分
回复 引用

订阅 TOP

sweetcandy_321

列兵

积分
54 
威望
112  
元宝
0  
铜钱
104  
2
发表于 2007-12-3 17:23 | 只看该作者
我用专家杀不出那个 隐藏文件-----异常的Autorun.inf,,,,但是显示隐藏文件后 却能在 C.D盘下看到一个文件夹,名为Autorun.inf,但是文件夹里什么都没有,,,我想删除掉那个文件夹,,但是提示说 不能删除

我该怎么办啊????????????
回复 引用

TOP

282204495

一级士官长

积分
2123 
威望
4193  
元宝
141  
铜钱
1615  
3
发表于 2007-12-4 13:32 | 只看该作者
原帖由 sweetcandy_321 于 2007-12-3 09:23 发表
我用专家杀不出那个 隐藏文件-----异常的Autorun.inf,,,,但是显示隐藏文件后 却能在 C.D盘下看到一个文件夹,名为Autorun.inf,但是文件夹里什么都没有,,,我想删除掉那个文件夹,,但是提示说 不能删除

我该怎么办啊? ...
用文件粉碎工具粉碎啊。{3F}
回复 引用

TOP

huruochen203

上校

积分
7119 
威望
15385  
元宝
271  
铜钱
199  

星光奖节庆图片奖
4
发表于 2007-12-6 18:49 | 只看该作者
学习了
回复 引用

TOP

timothy.7

列兵

积分
67 
威望
137  
元宝
0  
铜钱
77  
5
发表于 2007-12-6 19:47 | 只看该作者
我在C.D.E.F四个盘里发现了一个AUTORUN.INF的文件夹,可是文件粉碎器粉碎不掉,删也删不掉.谁知到怎么回事?{7E(2)}
回复 引用

TOP

xiao1zhu2

新兵

积分
21 
威望
40  
元宝
0  
铜钱
21  
6
发表于 2007-12-8 21:13 | 只看该作者
学习了
回复 引用

TOP

yuanyujin

下士

积分
206 
威望
419  
元宝
0  
铜钱
355  
7
发表于 2007-12-11 18:10 | 只看该作者
{68}
回复 引用

TOP

a2929619

新兵

积分
威望
14  
元宝
0  
铜钱
9  
8
发表于 2007-12-12 09:10 | 只看该作者
你们好,你们能告诉我.浏览器总要试图运行个可以板块c:\windows\system32verclsid.exe,  这个是什么意思?谢谢大家了,本人已经被病毒木马折磨了有一年多了,现在 在崩溃的边缘了,都要决定以后去网吧上网去了.麻烦你们了                      菜鸟中的战斗机
回复 引用

TOP

weidongxiang

新兵

积分
威望
2  
元宝
0  
铜钱
1  
9
发表于 2007-12-13 17:04 | 只看该作者
原帖由 timothy.7 于 2007-12-6 11:47 发表
我在C.D.E.F四个盘里发现了一个AUTORUN.INF的文件夹,可是文件粉碎器粉碎不掉,删也删不掉.谁知到怎么回事?{7E(2)}
AUTORUN.INF也是个毒~刚开始也杀不了~`用360安全卫士 可以杀掉~~{5E(1)} 虽然我也是金山毒霸老用户~~但是只要能杀毒就可以了`~杀完再把360安全卫士删除掉就好了``{D3}
回复 引用

TOP

timothy.7

列兵

积分
67 
威望
137  
元宝
0  
铜钱
77  
10
发表于 2007-12-13 18:04 | 只看该作者
我正准备安360时,毒霸恶意行为拦截把360当成个可疑文件清除了,晕!{7E(2)}
回复 引用

TOP

saka

下士

积分
277 
威望
513  
元宝
2  
铜钱
32  
11
发表于 2007-12-14 10:43 | 只看该作者
支持!顶一个
回复 引用

TOP

king-yn

三级士官长

积分
1194 
威望
2630  
元宝
15  
铜钱
1768  

捣蛋虎
12
发表于 2007-12-15 18:47 | 只看该作者
若是名为AUTORUN.INF的文件夹,
那是你曾用过AUTO免疫产生的文件夹
回复 引用

TOP

huahuasousou

新兵

积分
45 
威望
92  
元宝
0  
铜钱
51  
13
发表于 2007-12-15 19:25 | 只看该作者
哎,要是金山能做到防止病毒监视并自动改名就好了。
回复 引用

TOP

13916081570

二级士官长

积分
1516 
威望
2921  
元宝
0  
铜钱
1081  

圣诞礼盒
14
发表于 2007-12-15 23:45 | 只看该作者
学习
毒霸天下
回复 引用

TOP

lsp0482

新兵

积分
17 
威望
32  
元宝
0  
铜钱
14  
15
发表于 2007-12-17 18:31 | 只看该作者
{00} {00} 谢谢大家
回复 引用

TOP

返回列表