autorun.inf和sbl.exe之U盤病毒的清除方法
更新時(shí)間:2007年09月28日 20:17:31 作者:
病毒生成如下文件:
Code:
C:\WINDOWS\system32\1.inf
C:\WINDOWS\system32\chostbl.exe
C:\WINDOWS\system32\lovesbl.dll
在每個(gè)分區(qū)下面創(chuàng)建autorun.inf和sbl.exe,并不斷檢測(cè)chostbl.exe的屬性是否為隱藏
注冊(cè)服務(wù)AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,達(dá)到開機(jī)啟動(dòng)的目的.
啟動(dòng)類型:自動(dòng)
顯示名稱:A GooD DownLoad CAHW
調(diào)用TerminateProcess函數(shù)關(guān)閉如下進(jìn)程
Code:
360safe.exe
360tray.exe
runiep.exe
avp.exe
調(diào)用GetWindowsTextA函數(shù) 獲得當(dāng)前窗口標(biāo)題,并調(diào)用PostMessageA函數(shù)試圖發(fā)送WM_CLOSE,WM_DESTROY,WM_QUIT指令關(guān)閉帶有如下字樣的窗口
Quote:
卡卡
江民
金山
任務(wù)管理器
木馬清道夫
木馬克星
超級(jí)巡警
NOD32核心
安全
安全衛(wèi)士
木馬殺客
NOD32
內(nèi)核
OD
微點(diǎn)
調(diào)用FindWindowA函數(shù)查找如下窗口 并試圖調(diào)用PostMessageA函數(shù)向其發(fā)送WM_CLOSE指令 關(guān)閉窗口
Quote:
AVP.AlertDialog
AVP.Product_Notification
AVP.Product_Noti
調(diào)用cmd.exe 執(zhí)行net stop sharedaccess命令 關(guān)閉Windows自帶的防火墻服務(wù)
C:\WINDOWS\system32\lovesbl.dll插入svchost.exe進(jìn)程
利用svchost.exe執(zhí)行下載木馬操作
Code:
下載http://218.61.18.*/hao.exe
http://218.61.18.*/wei.exe
http://218.61.18.*/haowei.exe
?。╥p地址為遼寧大連網(wǎng)通)
到C:\Documents and Settings下面 并分別命名為servciesa.exe~servciesc.exe,下載間隔200ms
測(cè)試中http://218.61.18.*/haowei.exe(servciesc.exe)鏈接已失效
servciesa.exe為一感染下載者
下載http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe,但下載鏈接已失效
感染除以下文件夾下的exe文件
Quote:
WINDOWS
WINNT
RECYCLE
System Volume Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings
被感染文件被加入593字節(jié)的內(nèi)容 圖表不變 感染方式還得請(qǐng)高手來指教...
servciesb.exe
注冊(cè)服務(wù)WindowsRemote
啟動(dòng)類型:自動(dòng)
顯示名稱:Windows Accounts Driver
也是一個(gè)木馬下載者 但下載鏈接失效
病毒全部動(dòng)作完畢以后,sreng日志如下:
服務(wù)
Code:
[A GooD DownLoad CAHW / AnHao_VIP_CAHW][Running/Auto Start]
[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]
==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
手動(dòng)解決方法:
下載sreng 打開解壓后運(yùn)行srengps.exe
“啟動(dòng)項(xiàng)目”-“服務(wù)”-“Win32服務(wù)應(yīng)用程序”中點(diǎn)“隱藏經(jīng)認(rèn)證的微軟項(xiàng)目”,
選中以下項(xiàng)目,點(diǎn)“刪除服務(wù)”,再點(diǎn)“設(shè)置”,在彈出的框中點(diǎn)“否”:
Code:
A GooD DownLoad CAHW / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote
重啟計(jì)算機(jī)
雙擊我的電腦,工具,文件夾選項(xiàng),查看,單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件(推薦)"前面的鉤。在提示
確定更改時(shí),單擊“是” 然后確定
點(diǎn)擊 菜單欄下方的 文件夾按鈕(搜索右邊的按鈕)
Code:
C:\WINDOWS\system32\1.inf
C:\WINDOWS\system32\chostbl.exe
C:\WINDOWS\system32\lovesbl.dll
在每個(gè)分區(qū)下面創(chuàng)建autorun.inf和sbl.exe,并不斷檢測(cè)chostbl.exe的屬性是否為隱藏
注冊(cè)服務(wù)AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,達(dá)到開機(jī)啟動(dòng)的目的.
啟動(dòng)類型:自動(dòng)
顯示名稱:A GooD DownLoad CAHW
調(diào)用TerminateProcess函數(shù)關(guān)閉如下進(jìn)程
Code:
360safe.exe
360tray.exe
runiep.exe
avp.exe
調(diào)用GetWindowsTextA函數(shù) 獲得當(dāng)前窗口標(biāo)題,并調(diào)用PostMessageA函數(shù)試圖發(fā)送WM_CLOSE,WM_DESTROY,WM_QUIT指令關(guān)閉帶有如下字樣的窗口
Quote:
卡卡
江民
金山
任務(wù)管理器
木馬清道夫
木馬克星
超級(jí)巡警
NOD32核心
安全
安全衛(wèi)士
木馬殺客
NOD32
內(nèi)核
OD
微點(diǎn)
調(diào)用FindWindowA函數(shù)查找如下窗口 并試圖調(diào)用PostMessageA函數(shù)向其發(fā)送WM_CLOSE指令 關(guān)閉窗口
Quote:
AVP.AlertDialog
AVP.Product_Notification
AVP.Product_Noti
調(diào)用cmd.exe 執(zhí)行net stop sharedaccess命令 關(guān)閉Windows自帶的防火墻服務(wù)
C:\WINDOWS\system32\lovesbl.dll插入svchost.exe進(jìn)程
利用svchost.exe執(zhí)行下載木馬操作
Code:
下載http://218.61.18.*/hao.exe
http://218.61.18.*/wei.exe
http://218.61.18.*/haowei.exe
?。╥p地址為遼寧大連網(wǎng)通)
到C:\Documents and Settings下面 并分別命名為servciesa.exe~servciesc.exe,下載間隔200ms
測(cè)試中http://218.61.18.*/haowei.exe(servciesc.exe)鏈接已失效
servciesa.exe為一感染下載者
下載http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe,但下載鏈接已失效
感染除以下文件夾下的exe文件
Quote:
WINDOWS
WINNT
RECYCLE
System Volume Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings
被感染文件被加入593字節(jié)的內(nèi)容 圖表不變 感染方式還得請(qǐng)高手來指教...
servciesb.exe
注冊(cè)服務(wù)WindowsRemote
啟動(dòng)類型:自動(dòng)
顯示名稱:Windows Accounts Driver
也是一個(gè)木馬下載者 但下載鏈接失效
病毒全部動(dòng)作完畢以后,sreng日志如下:
服務(wù)
Code:
[A GooD DownLoad CAHW / AnHao_VIP_CAHW][Running/Auto Start]
[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]
==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
手動(dòng)解決方法:
下載sreng 打開解壓后運(yùn)行srengps.exe
“啟動(dòng)項(xiàng)目”-“服務(wù)”-“Win32服務(wù)應(yīng)用程序”中點(diǎn)“隱藏經(jīng)認(rèn)證的微軟項(xiàng)目”,
選中以下項(xiàng)目,點(diǎn)“刪除服務(wù)”,再點(diǎn)“設(shè)置”,在彈出的框中點(diǎn)“否”:
Code:
A GooD DownLoad CAHW / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote
重啟計(jì)算機(jī)
雙擊我的電腦,工具,文件夾選項(xiàng),查看,單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件(推薦)"前面的鉤。在提示
確定更改時(shí),單擊“是” 然后確定
點(diǎn)擊 菜單欄下方的 文件夾按鈕(搜索右邊的按鈕)
相關(guān)文章
Windows提示找不到文件“chkfat.exe”的解決方法
Windows提示找不到文件“chkfat.exe”的解決方法...2007-04-04關(guān)于winasse.exe生成Win59.exe等病毒的解決方法
關(guān)于winasse.exe生成Win59.exe等病毒的解決方法...2007-03-03