最近朋友的u盤中發現了vistaAA.exe,用下面的方法即可解決這個問題
病毒樣本信息:
File: vistaAA.exe
Size: 35750 bytes
Modified: 2008年5月8日, 18:52:32
MD5: 7009AC302C6D2C6AADEDE0D490D5D843
SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E
CRC32: DCE5AE5A
病毒運行後:
1.釋放一個sbl.sys到%system32%\drivers下面,並拷貝一份覆蓋beep.sys,之後加載該驅動,恢復SSDT鉤子,導致某些殺毒軟件的主動防禦功能失效。
2.結束很多殺毒軟件和安全工具的進程
諸如:
Quote:
360rpt.exe
360Safe.exe
360tray.exe
avp.com
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
Rav.exe
RavMon.exe
RavMonD.exe
...
3.複製自身到\config\systemprofile\下和%system32%下面
4.啓動一個IE進程,連接網絡
到http://***.kjxs.com/tj.asp進行感染統計
下載http://***.kjxs.com/liehuo.rar到%system32%\Contxt.dat 該文件應該是需要下載的木馬列表
但鏈接已經失效
5.映像劫持很多殺毒軟件和安全工具和其他一些流行病毒:
Quote:
360rpt.exe
360Safe.exe
360tray.exe
45.exe
5784dfgi.exe
adam.exe
AgentSvr.exe
appdllman.exe
AppSvc32.exe
auto.exe
AutoRun.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
cross.exe
dfcxfg.exe
Discovery.exe
FileDsty.exe
FTCleanerShell.exe
FuckAAAAAAA.exe
guangd.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
kernelwind32.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
logogo.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
pagefile.exe
pagefile.pif
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
regedit.Exe
regedit32.Exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
SDGames.exe
servet.exe
shcfg32.exe
SmartUp.exe
sos.exe
SREng.exe
SSDtDiscovery.exe
symlcsvc.exe
SysSafe.exe
taskmgr.exe
TNT.Exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
TxoMoU.Exe
U.exe
UFO.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
USBoot.exe
WoptiClean.exe
Wsyscheck.exe
XP.exe
xxxdgfdfg.exe
zxsweep.exe
~.exe
6.創建註冊表啓動項目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoveHebeAA><C:\WINDOWS\system32\vistaAA.exe>
達到開機啓動自身的目的
7.創建一個計時器每1800秒啓動一次病毒本身
清除方法:
1.重啓計算機 進入
安全模式下(開機後不斷 按F8鍵 然後出來一個高級菜單 選擇第一項 安全模式 進入系統)
打開sreng:
啓動項目 註冊表 刪除如下項目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoveHebeAA><C:\WINDOWS\system32\vistaAA.exe>
刪除所有紅色的IFEO項目
2.刪除如下文件C:\WINDOWS\system32\vistaAA.exe
3.使用殺毒軟件清除病毒下載的其他木馬
U盤病毒vistaAA.exe的手動查殺方法
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.