AutoRun.wp(gg.exe)U盘木马清除方法

文件名称:gg.exe

文件大小:65607 byte

AV命名:

Worm.Win32.AutoRun.wp  卡巴斯基

Worm.Delf.65607  金山毒霸

Win32.HLLW.Autoruner.548   Dr.WEB

加壳方式:未

编写语言:Microsoft Visual C++ 6.0

文件MD5:33d493af096ef2fa6e1885a08ab201e6

行为分析:

1、  释放病毒文件:

C:\WINDOWS\gg.exe  65607 字节

2、  添加启动项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(注册表值) ctfmon.exe = REG_SZ, "C:\windows\gg.exe"

3、  查找可用磁盘,生成:autorun.inf和gg.exe,实现U盘感染。

4、  连接121.206.1.2××下载木马,不过未实现。

5、  直接获取系统内存,隐藏自身,防止被结束。

解决方法:

1、  下载冰刃和SREng(均可到down.45it.com下载)。

2、  打开冰刃,结束病毒进程。(gg.exe)

3、  打开SREng,删除启动项:

(注册表值) ctfmon.exe,指向的C:\windows\gg.exe。

注意不要删除错了。

4、  删除病毒文件:

C:\WINDOWS\gg.exe  65607 字节

5、  用winrar删除磁盘底下的文件,注意不要双击进入磁盘,不要病毒又复活了。

6、若无法清除,请把病毒样本发送至526170722@qq.com

(0)

相关推荐

  • AutoRun.wp(gg.exe)U盘木马清除方法

    文件名称:gg.exe 文件大小:65607 byte AV命名: Worm.Win32.AutoRun.wp  卡巴斯基 Worm.Delf.65607  金山毒霸 Win32.HLLW.Autoruner.548   Dr.WEB 加壳方式:未 编写语言:Microsoft Visual C++ 6.0 文件MD5:33d493af096ef2fa6e1885a08ab201e6 行为分析: 1.  释放病毒文件: C:\WINDOWS\gg.exe  65607 字节 2.  添加启动项:

  • 推荐Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)

    [原创]Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新) 最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw).该程序位于C:\Program Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:

  • autorun.inf+无法显示隐藏文件+病毒的清除方法

    情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp

  • 桌面不显示图标的盗号木马清除方法

    桌面不显示图标的盗号木马清除方法

    上周,金山反病毒中心截获一个以盗取"魔域"."完美世界"和"浩方游戏平台"为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种.金山客服中心接到大量用户投诉,反映系统重启无法显示桌面.金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种. 病毒分析报告: 这是一个盗取"魔域"."完美世界"和"浩方游戏

  • winfoams.dll,auto.exe,450381EC.EXE病毒的手动清除方法

    解决参考: 进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 思路 1.安全模式下操作 强制删除文件 可借助xdelbox, powerRMV等. 复制代码 代码如下: C:\Autorun.inf  C:\auto.exe  d:\Autorun.inf  d:\auto.exe  e:\Autorun.inf  e:\auto.exe  f:\Autorun.inf  f:\auto.exe  g:\Autorun.inf  g:\auto.exe  C:\W

  • visin.exe病毒的手动清除方法,专杀都不要了

    病毒描述: 名称:visin 路径:C:\windows\system32\visin.exe 出品公司:Microsoft Corporation 行为描述:新增系统启动项 位置:HKEY lOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run 注册表:HKEY lOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ex

  • linux top下的 minerd 木马清除方法

    最近一段时 间,总是有人反映公司的一台测试服务器访问速度很慢,半天都打不开.开始的时候,以为是这两天新部署的测试程序导致的. 想着测试完关掉就没有事情了. 后 来,仔细想了想,觉得不对.新的测试程序,并不是很消耗资源啊. 于是登上去看了看,不看不知道,一看吓一跳. top命令一查,发现有一个叫做 minerd 的进程,居然占用了99%的CPU. 这个东西一看名字,就不是什么好东西.肯定是别人挂的木马啦. 于是,按照常规方法,首先ps -ef|grep minerd  看这个进程的详情,发现这个进

  • autorun.inf和sbl.exe之U盘病毒的清除方法

    病毒生成如下文件: Code: C:\WINDOWS\system32\1.inf C:\WINDOWS\system32\chostbl.exe C:\WINDOWS\system32\lovesbl.dll 在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏 注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的. 启动类型:自动 显示名称:A GooD DownLo

  • SysLoad3.exe木马病毒的分析及清除方法

    使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了. 特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!! [b]二:以下是分析和手动清除方法: 昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的进程有些可疑.然后看了看注

  • u盘病毒清除 Discovery.exe查杀方法

    这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意. Quote: File: Discovery.exe Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件: Quote: %syst

随机推荐