autorun.inf和sbl.exe之U盘病毒的清除方法

病毒生成如下文件:

Code:
  C:\WINDOWS\system32\1.inf
  C:\WINDOWS\system32\chostbl.exe
  C:\WINDOWS\system32\lovesbl.dll
  在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏
  注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的.

  启动类型:自动
  显示名称:A GooD DownLoad    CAHW

  调用TerminateProcess函数关闭如下进程

Code:
  360safe.exe
  360tray.exe
  runiep.exe
  avp.exe

  调用GetWindowsTextA函数 获得当前窗口标题,并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口

Quote:
  卡卡
  江民
  金山
  任务管理器
  木马清道夫
  木马克星
  超级巡警
  NOD32核心
  安全
  安全卫士
  木马杀客
  NOD32
  内核
  OD
  微点

  调用FindWindowA函数查找如下窗口 并试图调用PostMessageA函数向其发送WM_CLOSE指令 关闭窗口

Quote:
  AVP.AlertDialog
  AVP.Product_Notification
  AVP.Product_Noti

  调用cmd.exe 执行net stop sharedaccess命令 关闭Windows自带的防火墙服务

  C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程 
  利用svchost.exe执行下载木马操作
  
Code:
下载http://218.61.18.*/hao.exe
  http://218.61.18.*/wei.exe
  http://218.61.18.*/haowei.exe

  (ip地址为辽宁大连网通)

  到C:\Documents and Settings下面 并分别命名为servciesa.exe~servciesc.exe,下载间隔200ms
  

  测试中http://218.61.18.*/haowei.exe(servciesc.exe)链接已失效

  servciesa.exe为一感染下载者
  下载http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe,但下载链接已失效

  感染除以下文件夹下的exe文件
  
Quote:
WINDOWS
  WINNT
  RECYCLE
  System Volume Information
  Internet Explorer
  Outlook Express
  NetMeeting
  Common Files
  Messenger
  Windows Media Player
  WinRAR
  MSOCache
  Documents and Settings

  被感染文件被加入593字节的内容 图表不变 感染方式还得请高手来指教...

  servciesb.exe
  注册服务WindowsRemote 
  启动类型:自动
  显示名称:Windows Accounts Driver
  也是一个木马下载者 但下载链接失效

  病毒全部动作完毕以后,sreng日志如下:
  服务

Code:
[A GooD DownLoad    CAHW    / AnHao_VIP_CAHW][Running/Auto Start]

[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]

==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
  

手动解决方法:

  下载sreng 打开解压后运行srengps.exe

  “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

Code:
A GooD DownLoad    CAHW    / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote

  重启计算机

  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示

  确定更改时,单击“是” 然后确定
  点击    菜单栏下方的 文件夹按钮(搜索右边的按钮)

(0)

相关推荐

  • autorun.inf和sbl.exe之U盘病毒的清除方法

    病毒生成如下文件: Code: C:\WINDOWS\system32\1.inf C:\WINDOWS\system32\chostbl.exe C:\WINDOWS\system32\lovesbl.dll 在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏 注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的. 启动类型:自动 显示名称:A GooD DownLo

  • autorun.inf+无法显示隐藏文件+病毒的清除方法

    情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp

  • conime.exe是什么附conime.exe病毒的清除方法

    非常郁闷的事情,最近conime.exe好像又红火起来了,早在2005年就有很多人问conime.exe是什么进程,是病毒吗? 1.conime.exe不一定是病毒,conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号.但也不排除是bfghost1.0远程控制后门程序(伪装成conime.exe输入法进程).此程序允许攻击者访问你的计算机,窃取密码和个人数据.建议立即删除此进程. 2.这里我们介绍下正常conime.exe进程的进程信息: 出品者: 微软 属于: Mi

  • 发现ravmsmon.exe病毒的清除方法

    具体问题具体分析,非本问题的提问者参照时请对比清除. 进入安全模式下操作(重启系统长按F8直到出现提示,然后选择进入安全模式): 解决思路参考: 1.删除以下文件 可借助powerRMV 或者 Xdelbox C:\Program Files\NetMeeting\ravmsmon.exe C:\Program Files\common Files\Microsoft Shared\MSINFO\System6.ins C:\Program Files\Internet Explorer\PLU

  • rpmsvc.exe,image11.zipMSN蠕虫病毒手动删除方法

    最近网站挂马比较验证,我的电脑的也超卡,建议大家下360safe,文件名称:image.JPG-www.photobucket.com 文件大小:10752 bytes  AV命名:(暂无,哈哈``因为全部过了``) 加壳方式:未知 编写语言:Delphi 病毒类型:IRCBot 文件MD5:0e404cb8b010273ef085afe9c90e8de1 行为: 1.释放病毒副本: %Systemroot%\system32\rpmsvc.exe    10752 字节 C:\Document

  • microsoft.exe病毒与清除方法

    最近用超级兔子检测出可疑程序microsoft.exe,位于C:\WINDOWS\system32下,在进程里关了 后又出现在进程里,在安全模式下删了后,重起又有了!~~请问这个是病毒吗?microsoft - microsoft.exe - 进程信息  进程文件: microsoft 或者 microsoft.exe  进程名称: GAOBOT Virus www.sstorm.cn我们的永久域名! 进程名称: microsoft.exe是高波GAOBOT病毒相关程序.该病毒利用Windows

  • 开机CPU就是100%cmd.exe病毒进程清除方法

    发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

  • AutoRun.wp(gg.exe)U盘木马清除方法

    文件名称:gg.exe 文件大小:65607 byte AV命名: Worm.Win32.AutoRun.wp  卡巴斯基 Worm.Delf.65607  金山毒霸 Win32.HLLW.Autoruner.548   Dr.WEB 加壳方式:未 编写语言:Microsoft Visual C++ 6.0 文件MD5:33d493af096ef2fa6e1885a08ab201e6 行为分析: 1.  释放病毒文件: C:\WINDOWS\gg.exe  65607 字节 2.  添加启动项:

  • u盘病毒清除 Discovery.exe查杀方法

    这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意. Quote: File: Discovery.exe Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件: Quote: %syst

  • U盘病毒vistaAA.exe的手动查杀方法

    Modified: 2008年5月8日, 18:52:32 MD5: 7009AC302C6D2C6AADEDE0D490D5D843 SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E CRC32: DCE5AE5A 病毒运行后: 1.释放一个sbl.sys到%system32%\drivers下面,并拷贝一份覆盖beep.sys,之后加载该驱动,恢复SSDT钩子,导致某些杀毒软件的主动防御功能失效. 2.结束很多杀毒软件和安全工具的进程 诸如: Qu

随机推荐