AutoRun.wp(gg.exe)U盤木馬清除方法

gg.exe u盤木馬查殺方法 文件名稱：gg.exe


文件大小：65607 byte


AV命名：


Worm.Win32.AutoRun.wp  卡巴斯基

Worm.Delf.65607  金山毒霸

Win32.HLLW.Autoruner.548   Dr.WEB


加殼方式：未


編寫語言：Microsoft Visual C++ 6.0


文件MD5：33d493af096ef2fa6e1885a08ab201e6


行爲分析：


1、  釋放病毒文件：


C:\WINDOWS\gg.exe  65607 字節


2、  添加啓動項：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 (註冊表值) ctfmon.exe = REG_SZ, "C:\windows\gg.exe"


3、  查找可用磁盤，生成：autorun.inf和gg.exe，實現U盤感染。


4、  連接121.206.1.2××下載木馬，不過未實現。


5、  直接獲取系統內存，隱藏自身，防止被結束。


解決方法：


1、  下載冰刃和SREng(均可到down.45it.com下載)。

2、  打開冰刃，結束病毒進程。（gg.exe）

3、  打開SREng，刪除啓動項：


(註冊表值) ctfmon.exe，指向的C:\windows\gg.exe。


注意不要刪除錯了。

4、  刪除病毒文件：


C:\WINDOWS\gg.exe  65607 字節


5、  用winrar刪除磁盤底下的文件，注意不要雙擊進入磁盤，不要病毒又復活了。


6、若無法清除，請把病毒樣本發送至[email protected]