金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

91手機維修論壇

標題: 文件夾EXE病毒及處理(最好是注意打開(kāi)方式別染了) [打印本頁(yè)]
作者: huansi29    時(shí)間: 2010-5-18 14:58
標題: 文件夾EXE病毒及處理(最好是注意打開(kāi)方式別染了)
同名文件夾EXE病毒:
  木馬名稱(chēng):Worm.Win32.AutoRun.soq(蠕蟲(chóng)類(lèi))
    一、病毒原理及相關(guān)分析
  一臺電腦中毒后,電腦里面會(huì )有一個(gè) XP-****.exe(其中****是一個(gè)大寫(xiě)字母與數字混合,如XP-02B94AC1.exe)的類(lèi)似XP補丁的進(jìn)程以及D7F45.exe的類(lèi)似進(jìn)程,同時(shí)建立D7F45.exe及一個(gè)文件夾的幾個(gè)啟動(dòng)項,當你插入U盤(pán)后,它會(huì )把原文件夾隱身,同時(shí)建立同名的EXE文件夾,例如 軟件.exe 這樣的病毒文件夾,文件夾大小為1.44M,不知道的人雙擊就會(huì )中毒。
  病毒行為:
  1、病毒運行后會(huì )釋放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位隨機)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件,而是漢語(yǔ)編程易語(yǔ)言的支持庫文件)到系統盤(pán)的\WINDOWS\system32里面
  2、新增以下注冊表項,已達到病毒隨系統啟動(dòng)而自啟動(dòng)的目的。
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  注冊表值:XP-290F2C69(后8位隨機)
  類(lèi)型:REG_SZ
  值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位隨機)
  3、添加以下啟動(dòng)項,實(shí)現病毒自啟動(dòng):
  “C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)” 里的“ .lnk”指向病毒文件。
  4、下載病毒文件: hxxp://df-123.cn/v.gif(16,896 字節)保存為以下文件,并且運行它們:
  %Windir%\System32\winvcreg.exe
  %Windir%\System32\2080.EXE (名稱(chēng)隨機)
  5、被感染的電腦接入移動(dòng)磁盤(pán)后,病毒會(huì )遍歷移動(dòng)磁盤(pán)根目錄下的文件夾,衍生自身到移動(dòng)磁盤(pán)根目錄下,更名為檢測到的文件夾名稱(chēng),修改原文件夾屬性為隱藏,使用戶(hù)在其他計算機使用移動(dòng)磁盤(pán)打開(kāi)其文件夾時(shí)運行病毒, 以達到病毒隨移動(dòng)磁盤(pán)傳播的目的。
  二、解決方案
  專(zhuān)殺清除方法:
  下載瑞星等殺毒軟件。(網(wǎng)上有免費正版的,只不過(guò)好像只能使用半年左右)
  手工清除方法:
  1、刪除病毒在System32生成的以下文件:
  com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(隨機名)
  2、刪除病毒的啟動(dòng)項,刪除以下啟動(dòng)項:
  “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位隨機);
  “C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)” 里的“ .lnk”。
  3、手工刪除后綴為exe的文件,然后顯示被隱藏的文件夾。點(diǎn)擊“開(kāi)始”---“運行”----輸入“cmd” ,進(jìn)入命令提示符,然后進(jìn)入你U盤(pán)所在的根目錄,具體操作如下,比如你的U盤(pán)盤(pán)符位G,那么就輸入“g:”在回車(chē)就可以了。最后,輸入如下命令:attrib -r -a -s -h *.* /s /d。
  三、安全建議
  養成右鍵打開(kāi)U盤(pán)的習慣,或者是開(kāi)啟USBCleaner的Usbmon.exe保護程序。
作者: huansi29    時(shí)間: 2010-5-18 17:27
所有處理做完后,在全盤(pán)查殺一遍,以防后患。
作者: 我也想大家了    時(shí)間: 2010-5-18 21:25
我一般都沒(méi)有養成這些好習慣,看來(lái)要改改了!
作者: 修補你的缺陷    時(shí)間: 2010-5-19 01:09
方法看著(zhù)蠻簡(jiǎn)單,但是殺起來(lái)還是很麻煩,最好是做好防護。



歡迎光臨 91手機維修論壇 (http://www.jstransmit.com/) Powered by Discuz! X3.4
乐清市| 金寨县| 青龙| 阿克陶县| 山西省| 黄大仙区| 东莞市| 西林县| 沁源县| 阜城县| 平原县| 乐陵市| 宁强县| 阜新| 大同县| 任丘市| 尖扎县| 隆德县| 彰化县| 元朗区| 绩溪县| 陕西省| 丹东市| 广州市| 云龙县| 奎屯市| 乌恰县| 唐海县| 怀来县| 临夏县| 呈贡县| 隆安县| 淮安市| 都兰县| 邹城市| 浙江省| 三穗县| 时尚| 武乡县| 和政县| 治县。|