打印

手把手带你处理一个黑吃黑的“AV”病毒(Win32.Troj.Autorun.ur.90112)

papa

中将(版主)

积分: 600
威望: 766
元宝: 0
铜钱: 498

1楼大中小发表于 2007-12-3 13:58 只看该作者

手把手带你处理一个黑吃黑的“AV”病毒(Win32.Troj.Autorun.ur.90112)

带你手动处理一个黑吃黑的“AV”病毒，毒霸检测为：Win32.Troj.Autorun.ur.90112

中该病毒后运行清理专家无反应，运行SReng的会有如下报错信息：

关于这个病毒的简单分析：
释放并利用%systemroot%\system32\snowfall.exe进行劫持；
在各个盘符留下主文件snow.exe和Autorun.inf；
劫持大量杀毒软件以及包括金山清理专家在内的安全辅助工具。

比较有趣的一点是该病毒会劫持同样是利用autorun传播并劫持大量杀软的“恐怖鸡感染号”的一个早期主文件xp.exe，以便达到自己能够单独在用户主机上面逞凶的目的。
AV类病毒黑吃黑尚属首例，该病毒劫持其他的流行病毒和系统文件包括:auto.exe、autorun.exe、sos.exe、UPO.exe、taskmgr.exe（任务管理器）释放并下载大量恶意软件。

“恐怖鸡感染号”的相关信息以及处理方法参考：
http://bbs.duba.net/thread-21853226-1-1.html

关于这个病毒的处理在正常模式是无法进行的，因为进程中存在snowfall.exe会监视杀软以及清理专家窗口。

可以按照如下步骤处理：
1.重启后按F8进入安全模式
2.找到金山系统清理专家的目录将清理专家主程序kasmain.exe改名。如图所示：

注：如果你进入安全模式就迫不及待地运行清理专家的话，那么已经可以再度重启了。因为病毒劫持清理专家到%systemroot%\system32\snowfall.exe直接运行清理专家的话会启动此进程。

3.运行清理专家的文件粉碎器添加病毒文件进行批量粉碎

4.运行清理专家的恶意软件扫描，全选清理恶意软件已经autorun.inf文件

5.重启后关闭系统还原功能，升级毒霸到最新后进行全面杀毒清理其他病毒木马
6.修复全部映像劫持以及修正文件夹选项

修复文件夹选项和影响劫持的小工具以及清理专家杀毒相关使用教程参考：
http://bbs.duba.net/thread-21849402-1-1.html

[ 本帖最后由 papa 于 2007-12-3 14:10 编辑 ]

TOP

sweetcandy_321

列兵

积分: 54
威望: 112
元宝: 0
铜钱: 104

2楼大中小发表于 2007-12-3 17:23 只看该作者

我用专家杀不出那个隐藏文件-----异常的Autorun.inf,,,,但是显示隐藏文件后却能在 C.D盘下看到一个文件夹,名为Autorun.inf,但是文件夹里什么都没有,,,我想删除掉那个文件夹,,但是提示说不能删除

我该怎么办啊????????????

TOP

282204495

虚无人生

六级士官

风之影者

积分: 2054
威望: 4048
元宝: 139
铜钱: 1542

3楼大中小发表于 2007-12-4 13:32 只看该作者

引用:

原帖由 sweetcandy_321 于 2007-12-3 09:23 发表
我用专家杀不出那个隐藏文件-----异常的Autorun.inf,,,,但是显示隐藏文件后却能在 C.D盘下看到一个文件夹,名为Autorun.inf,但是文件夹里什么都没有,,,我想删除掉那个文件夹,,但是提示说不能删除

我该怎么办啊? ...

用文件粉碎工具粉碎啊。{3F}

虽然我不能为灾区做些什么。但祝愿灾区人民早日脱离苦海。我为你们祈祷，为你们默哀。让自己能为灾区献上一份祝福。
金山样本收集组2群号:34520456

TOP

huruochen203

上校

一个爱国分子

积分: 7133
威望: 15377
元宝: 288
铜钱: 197

星光奖节庆图片奖

4楼大中小发表于 2007-12-6 18:49 只看该作者

学习了

TOP

timothy.7

列兵

积分: 59
威望: 120
元宝: 0
铜钱: 65

5楼大中小发表于 2007-12-6 19:47 只看该作者

我在C.D.E.F四个盘里发现了一个AUTORUN.INF的文件夹,可是文件粉碎器粉碎不掉,删也删不掉.谁知到怎么回事?{7E(2)}

TOP

xiao1zhu2

新兵

积分: 18
威望: 36
元宝: 0
铜钱: 19

6楼大中小发表于 2007-12-8 21:13 只看该作者

学习了

TOP

yuanyujin

一级士官

积分: 205
威望: 416
元宝: 0
铜钱: 353

7楼大中小发表于 2007-12-11 18:10 只看该作者

{68}

TOP

a2929619

新兵

积分: 7
威望: 14
元宝: 0
铜钱: 9

8楼大中小发表于 2007-12-12 09:10 只看该作者

你们好，你们能告诉我．浏览器总要试图运行个可以板块c:\windows\system32verclsid.exe,　　这个是什么意思？谢谢大家了，本人已经被病毒木马折磨了有一年多了，现在　在崩溃的边缘了，都要决定以后去网吧上网去了．麻烦你们了　　　　　　　　　　　　　　　　　　　　　　菜鸟中的战斗机

TOP

29392898

新兵

积分: 1
威望: 2
元宝: 0
铜钱: 1

9楼大中小发表于 2007-12-12 11:12 只看该作者

病毒啊,,,好恶劣啊...

Win32 OR Troj OR dlqsdfj.cb.1493672
这是什么病毒?
怎么杀?
这东西游戏也安不上,一安装就说发现病毒Win32 OR Troj OR dlqsdfj.cb.1493672
文件被删除..
气死了.{8E}

TOP

weidongxiang

新兵

积分: 1
威望: 2
元宝: 0
铜钱: 1

10楼 大中小发表于 2007-12-13 17:04 只看该作者

引用:

原帖由 timothy.7 于 2007-12-6 11:47 发表
我在C.D.E.F四个盘里发现了一个AUTORUN.INF的文件夹,可是文件粉碎器粉碎不掉,删也删不掉.谁知到怎么回事?{7E(2)}

AUTORUN.INF也是个毒～刚开始也杀不了～｀用３６０安全卫士　可以杀掉～～{5E(1)} 虽然我也是金山毒霸老用户～～但是只要能杀毒就可以了｀～杀完再把３６０安全卫士删除掉就好了｀｀{D3}

TOP

timothy.7

列兵

积分: 59
威望: 120
元宝: 0
铜钱: 65

11楼 大中小发表于 2007-12-13 18:04 只看该作者

我正准备安360时,毒霸恶意行为拦截把360当成个可疑文件清除了,晕!{7E(2)}

TOP

saka

月影苍狼

一级士官

积分: 276
威望: 512
元宝: 2
铜钱: 32

12楼 大中小发表于 2007-12-14 10:43 只看该作者

支持!顶一个

TOP

13087569636

新兵

积分: 3
威望: 6
元宝: 0
铜钱: 3

13楼 大中小发表于 2007-12-14 20:47 只看该作者

查杀AUTORUN.INF的文件夹得办法

我也种过这个病毒，用360和毒霸都无法彻底删除，后来偶尔发现了一个叫智能实验室的查毒软件，和一个叫沙马的杀毒软件，这两款软件不仅可以查杀AUTORUN.INF的文件夹，而且还杀掉了十几个不知道的木马和蠕虫病毒，效果挺不错的，大家可以试一试。{CF}

TOP

13087569636

新兵

积分: 3
威望: 6
元宝: 0
铜钱: 3

14楼 大中小发表于 2007-12-14 20:50 只看该作者

回复 2# 的帖子

下载一个叫杀马或者智能实验室的杀毒软件，这两个都可以杀死那些，我前几天刚用过，不错

TOP

king-yn

四级士官

积分: 1168
威望: 2583
元宝: 14
铜钱: 1734

15楼 大中小发表于 2007-12-15 18:47 只看该作者

若是名为AUTORUN.INF的文件夹,
那是你曾用过AUTO免疫产生的文件夹

TOP

lgfwhy

新兵

积分: 2
威望: 4
元宝: 0
铜钱: 2

16楼 大中小发表于 2007-12-15 18:49 只看该作者

学习了.不过我没碰到过.{78}

TOP

huahuasousou

新兵

积分: 45
威望: 92
元宝: 0
铜钱: 51

17楼 大中小发表于 2007-12-15 19:25 只看该作者

哎，要是金山能做到防止病毒监视并自动改名就好了。

TOP

13916081570

五级士官

积分: 1514
威望: 2918
元宝: 0
铜钱: 1079

圣诞礼盒

18楼 大中小发表于 2007-12-15 23:45 只看该作者

学习

毒霸天下

TOP

lsp0482

新兵

积分: 17
威望: 32
元宝: 0
铜钱: 14

19楼 大中小发表于 2007-12-17 18:31 只看该作者

{00} {00} 谢谢大家

TOP