U盘病毒vistaAA.exe的手动查杀方法

Modified: 2008年5月8日, 18:52:32
MD5: 7009AC302C6D2C6AADEDE0D490D5D843
SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E
CRC32: DCE5AE5A

病毒运行后:
1.释放一个sbl.sys到%system32%\drivers下面,并拷贝一份覆盖beep.sys,之后加载该驱动,恢复SSDT钩子,导致某些杀毒软件的主动防御功能失效。

2.结束很多杀毒软件和安全工具的进程
诸如:

Quote:
360rpt.exe
360Safe.exe
360tray.exe
avp.com
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
Rav.exe
RavMon.exe
RavMonD.exe
...

3.复制自身到\config\systemprofile\下和%system32%下面

4.启动一个IE进程,连接网络
到http://***.kjxs.com/tj.asp进行感染统计

下载http://***.kjxs.com/liehuo.rar到%system32%\Contxt.dat 该文件应该是需要下载的木马列表
但链接已经失效

5.映像劫持很多杀毒软件和安全工具和其他一些流行病毒:

Quote:
360rpt.exe
360Safe.exe
360tray.exe
45.exe
5784dfgi.exe
adam.exe
AgentSvr.exe
appdllman.exe
AppSvc32.exe
auto.exe
AutoRun.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
cross.exe
dfcxfg.exe
Discovery.exe
FileDsty.exe
FTCleanerShell.exe
FuckAAAAAAA.exe
guangd.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
kernelwind32.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
logogo.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
pagefile.exe
pagefile.pif
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
regedit.Exe
regedit32.Exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
SDGames.exe
servet.exe
shcfg32.exe
SmartUp.exe
sos.exe
SREng.exe
SSDtDiscovery.exe
symlcsvc.exe
SysSafe.exe
taskmgr.exe
TNT.Exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
TxoMoU.Exe
U.exe
UFO.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
USBoot.exe
WoptiClean.exe
Wsyscheck.exe
XP.exe
xxxdgfdfg.exe
zxsweep.exe
~.exe

6.创建注册表启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoveHebeAA><C:\WINDOWS\system32\vistaAA.exe>
达到开机启动自身的目的

7.创建一个计时器每1800秒启动一次病毒本身

清除方法:

1.重启计算机 进入
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng:
启动项目  注册表 删除如下项目

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoveHebeAA><C:\WINDOWS\system32\vistaAA.exe>

删除所有红色的IFEO项目

2.删除如下文件C:\WINDOWS\system32\vistaAA.exe

3.使用杀毒软件清除病毒下载的其他木马

(0)

相关推荐

  • U盘病毒vistaAA.exe的手动查杀方法

    Modified: 2008年5月8日, 18:52:32 MD5: 7009AC302C6D2C6AADEDE0D490D5D843 SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E CRC32: DCE5AE5A 病毒运行后: 1.释放一个sbl.sys到%system32%\drivers下面,并拷贝一份覆盖beep.sys,之后加载该驱动,恢复SSDT钩子,导致某些杀毒软件的主动防御功能失效. 2.结束很多杀毒软件和安全工具的进程 诸如: Qu

  • 记事本U盘病毒 Notepad.exe查杀方法

    特征: 1,运行Notepad.exe后,%SYSTEMROOT%system32建立随机命名文件夹935F0D,释放C:\WINDOWS\system32\935F0D\96B69A.EXE, 2,在%USERPROFILE%「开始」菜单\程序\启动中建立图标为文件夹文件名为空格的快捷方式,指向c:\windows\system32\935f0d\96b69a.exe 3,添加启动到HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,指向c:\

  • 美女游戏病毒iwbkvd.exe查杀方法

    按下F8進入安全模式. 一,運行PowerRmv,點擊"鎖定目標"在路徑c:\winnt\system32或者c:\windows\system32下找到severe.exe的文件,進行殺滅.iwbkvd.exe同樣.powerrmv網上有得下,您可以下載一個. 二,使用卡卡的IE修復功能進行IE修復 三,使用卡卡的啟動項管理功能查看病毒的登陸項進行刪除,并找到對應的病毒程序文件進行清除. 四,使用卡卡的啟動項管理功能查看病毒的應用程式劫持項進行刪除. 五,使用SREng修復系統的文件

  • HDM.exe手工查杀U盘病毒的方法

    HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面: Quote: 1.使用恢复SSDT的方式破坏杀毒软件 2.IFEO映像劫持 3.关闭指定窗口 4.删除gho文件 5.破坏安全模式,以及显示隐藏文件功能 6.感染htm等网页文件 7.猜测密码通过局域网传播 8.通过U盘等移动存储传播 9.arp欺骗 具体分析如下: Quote: File: HDM.exe Size: 13312 bytes Modified: 2007年11月28日, 16:52:08 MD5: 7E

  • 自制杀u盘病毒的批处理代码

    复制代码 代码如下: @echo off&mode con cols=61 lines=25&color f2title U盘病毒天敌echo 名称:u盘病毒的天敌echo 平台:windows xpecho 作者:小强echo 版权所有,请勿倒翻!cd\ del /f /q /ah *.exe 2>nuldel /f /q /as *.exe 2>nuldel /f /q ...exe 2>nuldel /f /q *.inf 2>nulmd autorun.in

  • U盘病毒分析附bat批处理文件

    U盘病毒分析                         作 者:CyyIsGood.Cloud ★功能:         一.分析某一个或多个磁盘中的Autorun.inf,确定引导的文件,备份引导文件并 将其删除.(如果让其一直运行,可以防范U盘病毒)         二.免疫某一个或多个磁盘,四级免疫:Autorun.inf文件夹.加系统/隐藏/只读 /存档属性.8.3子文件夹.NTFS写权.         三.发送备份的文件给作者(目前,该功能只适用于肇中高中部校园网) ★设定:

  • PyCharm-错误-找不到指定文件python.exe的解决方法

    1.现象 系统提示找不到指定的文件: Error running 'hello': Cannot run program "B:\pystudy\venv\Scripts\python.exe" (in directory "\python-study"): CreateProcess error=2, 系统找不到指定的文件. 2.原因 原来的工程目录(B盘)下,保存了python的编译环境,包括python.exe文件.工程目录移动到F盘以后,工程设置中找不到py

  • Python脚本导出为exe程序的方法

    一.pyinstaller简介 pyinstaller将Python脚本打包成可执行程序,使在没有Python环境的机器上运行 最新版是pyinstaller 3.1.1.支持python2.7和python3.3+. 可运行在Windows,Mac和Linux操作系统下. 但它不是跨编译的,也就是说在Windows下用PyInstaller生成的exe只能运行在Windows下,在Linux下生成的只能运行在Linux下. 二.pyinstaller在windows下的安装 使用命令pip i

  • 利用DOS命令来对抗U盘病毒保护U盘数据

    U盘的便捷性与大容量的存储性,深受着广大用户的欢迎,几乎每个用户都会人手一个,但就是这么广泛的使用,以至于U盘被病毒悄悄盯上,越来越多的病毒通过电脑.通过文件毁坏重要的数据,为了保护好U盘的数据,灭除U盘病毒成为了用户们的首要任务,下面就教大家一个小技巧,利用DOS命令来对抗U盘病毒. 利用DOS命令删除U盘病毒的步骤: 1.点击"开始→运行",输入"CMD",按回车键 2.打开命令提示符窗口,切换到U盘所在盘符或是中了Autorun.inf病毒的盘符下,依次执行下

  • 在.net应用程序中运行其它EXE文件的方法

    本文实例讲述了在.net应用程序中运行其它EXE文件的方法.分享给大家供大家参考.具体实现方法如下: Process proc = new Process(); proc.StartInfo.FileName = @"D:\Program Files\Foxmail\Foxmail.exe"; //可以用绝对路径 proc.StartInfo.Arguments = ""; proc.Start(); 希望本文所述对大家的C#程序设计有所帮助.

随机推荐