recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法
作者:
recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法
一、病毒描述:
病毒通过U盘传播,运行后复制自身到系统目录并释放一个灰鸽子木马。为增强隐蔽性,生成的病毒文件有回收站和安
装程序两种图标。
二、病毒基本情况:
病毒名称:Trojan-Dropper.Win32.VB.rj
病毒别名:无
病毒类型:病毒
危害级别:3
感染平台:Windows
病毒大小:458,752(字节)
SHA1 :b86e419783b2d1ca9a5d4ea7de4711cf3da7a83b
加壳类型:无
开发工具:Microsoft Visual Basic 5.0 / 6.0
三、病毒行为:
1、病毒运行后会生成以下文件:
%windir%\svchost.exe (458752 字节,回收站图标)
%windir%\ravfree.exe (307640 字节,安装程序图标,灰鸽子木马)
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe (307640 字节,安装程序图
标,灰鸽子木马)
%windir%\system32\_servieces.exe (307640 字节,安装程序图标,灰鸽子木马)
2、修改注册表添加一个启动项:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
键名:Shell
键值:Explorer.exe %windir%\svchost.exe
3、为灰鸽子木马添加一个服务:
服务名称:system starmize
显示名称:system starmize
描述:系统自带启动优化
可执行文件路径:%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
启动类型:自动
4、修改系统时间。通过执行cmd.exe /c date 1980-01-01命令,将系统时间修改为1980年。
5、监视U盘等移动设备,拷贝自身到U盘里面并命名为recycle.exe,写入autorun.inf,以达到随U盘传播的目的。
6、病毒释放的灰鸽木马会连接http://sx.yixiti.net.ru/i/i.txt下载i.txt文件,根据i.txt文件中的内容连接黑客
并接受其控制。
7、监视自身文件及启动项,防止被删除。
四、解决方案:
1、删除注册表内的启动项。修改注册表删除病毒启动项,删除键值内的%windir%\svchost.exe:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
键名:Shell
键值:Explorer.exe %windir%\svchost.exe
2、重启计算机,进入安全模式。
3、删除病毒文件。删除以下文件:
%windir%\svchost.exe
%windir%\ravfree.exe
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
%windir%\system32\_servieces.exe
4、删除病毒添加的服务。打开超级巡警,使用服务管理功能删除名为system starmize的服务。
5、修正系统时间。
五、对预防此病毒的建议:
由于此病毒是通过U盘传播的,所以建议使用超级巡警的U盘免疫对U盘进行免疫,并且废除系统的自动运行功能。在
将U盘插入到电脑时要对U盘进行杀毒,然后再使用。
病毒通过U盘传播,运行后复制自身到系统目录并释放一个灰鸽子木马。为增强隐蔽性,生成的病毒文件有回收站和安
装程序两种图标。
二、病毒基本情况:
病毒名称:Trojan-Dropper.Win32.VB.rj
病毒别名:无
病毒类型:病毒
危害级别:3
感染平台:Windows
病毒大小:458,752(字节)
SHA1 :b86e419783b2d1ca9a5d4ea7de4711cf3da7a83b
加壳类型:无
开发工具:Microsoft Visual Basic 5.0 / 6.0
三、病毒行为:
1、病毒运行后会生成以下文件:
%windir%\svchost.exe (458752 字节,回收站图标)
%windir%\ravfree.exe (307640 字节,安装程序图标,灰鸽子木马)
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe (307640 字节,安装程序图
标,灰鸽子木马)
%windir%\system32\_servieces.exe (307640 字节,安装程序图标,灰鸽子木马)
2、修改注册表添加一个启动项:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
键名:Shell
键值:Explorer.exe %windir%\svchost.exe
3、为灰鸽子木马添加一个服务:
服务名称:system starmize
显示名称:system starmize
描述:系统自带启动优化
可执行文件路径:%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
启动类型:自动
4、修改系统时间。通过执行cmd.exe /c date 1980-01-01命令,将系统时间修改为1980年。
5、监视U盘等移动设备,拷贝自身到U盘里面并命名为recycle.exe,写入autorun.inf,以达到随U盘传播的目的。
6、病毒释放的灰鸽木马会连接http://sx.yixiti.net.ru/i/i.txt下载i.txt文件,根据i.txt文件中的内容连接黑客
并接受其控制。
7、监视自身文件及启动项,防止被删除。
四、解决方案:
1、删除注册表内的启动项。修改注册表删除病毒启动项,删除键值内的%windir%\svchost.exe:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
键名:Shell
键值:Explorer.exe %windir%\svchost.exe
2、重启计算机,进入安全模式。
3、删除病毒文件。删除以下文件:
%windir%\svchost.exe
%windir%\ravfree.exe
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
%windir%\system32\_servieces.exe
4、删除病毒添加的服务。打开超级巡警,使用服务管理功能删除名为system starmize的服务。
5、修正系统时间。
五、对预防此病毒的建议:
由于此病毒是通过U盘传播的,所以建议使用超级巡警的U盘免疫对U盘进行免疫,并且废除系统的自动运行功能。在
将U盘插入到电脑时要对U盘进行杀毒,然后再使用。
您可能感兴趣的文章:
- python使用win32com在百度空间插入html元素示例
- win32使用openfilename浏览文件窗口示例
- python字符串加密解密的三种方法分享(base64 win32com)
- 如何使一个HTA位于屏幕中心(Win32_DesktopMonitor)
- c#用Treeview实现FolderBrowerDialog 和动态获取系统图标(运用了Win32 dll类库)
- WMI中的Win32_PingStatus类(ping命令实现)
- nginx win32 版本静态文件测试 (Windows环境)
- win32安装配置非安装版的MySQL
- iis Win32状态数值(sc-win32-status)说明
- PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除
- Worm.Win32.AutoRun.bqn病毒分析解决
- inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法
- Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
- 木马程序Trojan-Spy.Win32.Agent.cfu清除方法
- MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决
- 木马下载器Win32.TrojDownloader.Delf.114688
- Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法
- win32 api实现简单的消息窗口示例