手把手带你处理一个黑吃黑的“AV”病毒(Win32.Troj.Autorun.ur.90112)

papa

带你手动处理一个黑吃黑的“AV”病毒，毒霸检测为：Win32.Troj.Autorun.ur.90112

中该病毒后运行清理专家无反应，运行SReng的会有如下报错信息：

关于这个病毒的简单分析：
释放并利用%systemroot%\system32\snowfall.exe进行劫持；
在各个盘符留下主文件snow.exe和Autorun.inf；
劫持大量杀毒软件以及包括金山清理专家在内的安全辅助工具。

比较有趣的一点是该病毒会劫持同样是利用autorun传播并劫持大量杀软的“恐怖鸡感染号”的一个早期主文件xp.exe，以便达到自己能够单独在用户主机上面逞凶的目的。
AV类病毒黑吃黑尚属首例，该病毒劫持其他的流行病毒和系统文件包括:auto.exe、autorun.exe、sos.exe、UPO.exe、taskmgr.exe（任务管理器）释放并下载大量恶意软件。

“恐怖鸡感染号”的相关信息以及处理方法参考：
http://bbs.duba.net/thread-21853226-1-1.html


关于这个病毒的处理在正常模式是无法进行的，因为进程中存在snowfall.exe会监视杀软以及清理专家窗口。

可以按照如下步骤处理：
1.重启后按F8进入安全模式
2.找到金山系统清理专家的目录将清理专家主程序kasmain.exe改名。如图所示：

注：如果你进入安全模式就迫不及待地运行清理专家的话，那么已经可以再度重启了。因为病毒劫持清理专家到%systemroot%\system32\snowfall.exe直接运行清理专家的话会启动此进程。

3.运行清理专家的文件粉碎器添加病毒文件进行批量粉碎

4.运行清理专家的恶意软件扫描，全选清理恶意软件已经autorun.inf文件

5.重启后关闭系统还原功能，升级毒霸到最新后进行全面杀毒清理其他病毒木马
6.修复全部映像劫持以及修正文件夹选项

修复文件夹选项和影响劫持的小工具以及清理专家杀毒相关使用教程参考：
http://bbs.duba.net/thread-21849402-1-1.html

[ 本帖最后由 papa 于 2007-12-3 14:10 编辑 ]

sweetcandy_321

我用专家杀不出那个 隐藏文件-----异常的Autorun.inf,,,,但是显示隐藏文件后 却能在 C.D盘下看到一个文件夹,名为Autorun.inf,但是文件夹里什么都没有,,,我想删除掉那个文件夹,,但是提示说 不能删除

我该怎么办啊????????????

282204495

原帖由 sweetcandy_321 于 2007-12-3 09:23 发表
我用专家杀不出那个 隐藏文件-----异常的Autorun.inf,,,,但是显示隐藏文件后 却能在 C.D盘下看到一个文件夹,名为Autorun.inf,但是文件夹里什么都没有,,,我想删除掉那个文件夹,,但是提示说 不能删除

我该怎么办啊? ...

用文件粉碎工具粉碎啊。{3F}

huruochen203

学习了

timothy.7

我在C.D.E.F四个盘里发现了一个AUTORUN.INF的文件夹,可是文件粉碎器粉碎不掉,删也删不掉.谁知到怎么回事?{7E(2)}

xiao1zhu2

学习了

yuanyujin

{68}

a2929619

你们好，你们能告诉我．浏览器总要试图运行个可以板块c:\windows\system32verclsid.exe,　　这个是什么意思？谢谢大家了，本人已经被病毒木马折磨了有一年多了，现在　在崩溃的边缘了，都要决定以后去网吧上网去了．麻烦你们了　　　　　　　　　　　　　　　　　　　　　　菜鸟中的战斗机

weidongxiang

原帖由 timothy.7 于 2007-12-6 11:47 发表
我在C.D.E.F四个盘里发现了一个AUTORUN.INF的文件夹,可是文件粉碎器粉碎不掉,删也删不掉.谁知到怎么回事?{7E(2)}

AUTORUN.INF也是个毒～刚开始也杀不了～｀用３６０安全卫士　可以杀掉～～{5E(1)} 虽然我也是金山毒霸老用户～～但是只要能杀毒就可以了｀～杀完再把３６０安全卫士删除掉就好了｀｀{D3}

timothy.7

我正准备安360时,毒霸恶意行为拦截把360当成个可疑文件清除了,晕!{7E(2)}

saka

支持!顶一个

king-yn

若是名为AUTORUN.INF的文件夹,
那是你曾用过AUTO免疫产生的文件夹

huahuasousou

哎，要是金山能做到防止病毒监视并自动改名就好了。

13916081570

学习

lsp0482

{00} {00} 谢谢大家