TargetImage0.0.5 AutoStart
Gigaget Maxthon Extension1.0
这两个插件取消使用试下
工杀 auto.exe 病毒心得
网友hiawagail 的帖子 http://bbs.360safe.com/viewthread.php?tid=213558&extra=page%3D1 讲了此类病毒解决方法大综合啊,相见恨晚。
中招经过:
昨天晚上在youku 看视频,评论里有一个回贴说 xxxxx心理啥的测试(具体啥不记得了),很不错,用google一搜就有。
我搜了,记得前两个貌似都是博客,然后我在一篇博客里点了测试网页的链接,看了一会题,觉得没劲,正准备走的时候状况来了。
不知道是其中哪个NND的网页干得,也不知道它是故意的,还是自身就是被种植或感染的。
望广大网友引以为戒,勿再轻易被这些伪装的不错的评论吸引,好奇心害人啊(这种评论往往和主题风马牛不相及,但又让你觉得有那么点意思,可以一试)。
症状:(这种病毒应该有不少变种,故我描述的只是我所遭遇的症状)
浏览器(Maxthon)不断重复打开最后一个页面,关之不及,关闭mathon后硬盘连续工作,狂响(其实应为病毒在展开工作所致)。其实病毒进来太快,就是那时拔网线页来不及了。
1, 所有NTFS盘根目录下产生auto.exe,autorun.inf(指向auto.exe,作用为双击盘符时便发动auto.exe),删除无效,会 立即重现。两文件系隐藏属性,同时关闭你系统的 显示隐藏文件 功能, 若中招时你的系统是选择显示隐藏文件的,那么你可以看到这两个文件,重启后病毒发挥作用,隐藏文件不再可见。
2, 奇怪的是我中的这个auto.exe不会在FAT/FAT32 格式的磁盘中产生上述文件,故我FAT格式的U盘中也没有,看起来是一个完全倚靠网络传播的病毒。
3, 系统中装有KAV 卡巴,则系统时间自动回跳2年,卡巴黑掉,很不幸我用的就是卡巴。
4, 360被干掉,并且无法再运行(我想原因是360会拦截它下载木马),这点很让我恼火啊。
5, 中招后再连上网,IE(包括使用IE内核的其它浏览器,如maxthon)会被劫持,据我找到的材料中说,它会不断连接某些网站,造成拥堵。此时你无法在IE地址栏中输入任何信息。经我试验,firefox可正常工作。
6, 连上网后,它开始疯狂下载各种木马,我慌忙拔了网线,开始脱机操作,一夜未果(后来360搜出有13个木马瞬间被下载,包括各种盗号木马)。
7, 有意思的是,我中的这个auto.exe在安全模式下似乎并不会被加载到进程中,故安全模式下删除auto.exe,autorun.inf不会重生,但启动到正常模式,则依旧。
8, 这个病毒会产生随机8字符为名称(由大写英文和数字组成)的系统服务常驻系统,同时system32文件夹下有同样随机8字符为名称的exe和dll文件各1个,三者名字各不相同,这些东西是病毒的根源所在。
消灭方法:
技巧:我把winrar当浏览器用,它可以显示所有的隐藏文件,包括系统文件,可以删除文件,很好用。
建议一直断网操作
1, 下载软件Sreng。(http://www.kztechs.com/sreng/download.html)以及或许你还需要一款粉碎文件的工具,比如PowerRmv,icesword等用以删除顽固文件,这些附件中有。也许你可以用U盘将这些文件拷到中毒计算机中,如果U盘并不会被感染的话。
2, 启动到安全模式下,以管理员身份进入。
3, 运行srengps.exe,依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”,方便找目标。等待列表出来之后查找那种不规则的随机8位字母(大写)和数字组合的服务,然后选中下面的 “删除服务” 并单击设置按钮,在弹出的框中点“否”。
4, 恢复 查看隐藏文件,然后删除所有磁盘根目录下的auto.exe,autorun.inf。
恢复方法:把下面的代码拷入记事本中然后另存为.reg文件,然后双击把这个注册表项导入:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
“Text”=”@shell32.dll,-30500″
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51105″
所有根目录下的auto.exe和autorun.inf一个也别留。
5, 去 windows/system32/目录下找那2个随机8字符名的文件,一个.exe, 一个.dll。(有的变种貌似生成不止2个这样的文件,请自己把握)。
我是手工找的,据闻用江民的特征代码(用改名后的auto.exe作标本,可惜卡巴没要这功能)搜索更快。
小经验:我发现这俩文件名的首字母和先前Sreng搜出来的服务的首字母是一样的,可以加快定位,不过不保证一定是这样的。
补充:8位随机文件名举例
我的:F428951C 服务; F2017230 注册表中出现; F8AA188.DLL system32文件夹中;.exe文件名忘记录了
我看的文章中:83AA9DB8.DLL ,711EC3AE, B12E7AC4,F2F187EC.EXE,E2050308.DLL
希望对手工查找有帮助。
同时找类似这样的文件:
k11839413402.exe
k11839413424.DAT
k11839413424.exe
k11839413446.exe
k11839413478.exe
k118394134910.exe
所有文件统统删掉,也可以粉碎解恨 ^_^
6, win + R, 运行, 键入regedit,进注册表。以三个8位随机名搜索全盘,统统删掉。
如果遇到部分项无法删除,可以 右键–>权限, 让所有用户都取得完全控制,然后删之。
注意:如果你在中毒期间换过用户,那么不同用户的 HKEY_CURRENT_USER是不同的,每个都有残留。
再找到这里查看一下,我是在最下面: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache(病毒在这里也有残留)
7, 可以重启一下了,还是进安全模式,保险。
如果已经下载了很多木马,以我的经历来看,启动360,都可以解决(其实我也说不好,只是现在360和KAV已经找不出什么问题了)
8, 记得再到各个temp文件夹清理一下临时文件,再清理一下IE临时文件和cookies文件等。
我的杀毒历程到此结束了,除非再有什么状况发生。首次发文,问题在所难免,欢迎交流
http://bbs.360safe.com/viewthread.php?tid=364815
本文还暂无回复