亚洲自拍另类-亚洲资源最新版在线观看-亚洲资源在线视频-亚洲资源在线观看-亚洲资源在线播放-亚洲专区中文字幕

生成如下文件：
C:\WINDOWS\system32\1.inf
C:\WINDOWS\system32\chostbl.exe
C:\WINDOWS\system32\lovesbl.dll
在每個分區下面創建autorun.inf和sbl.exe
并不斷檢測chostbl.exe的屬性是否為隱藏

注冊服務AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe
達到開機啟動的目的
啟動類型：自動
顯示名稱：A GooD DownLoad CAHW

調用TerminateProcess函數關閉如下進程
360safe.exe
360tray.exe
runiep.exe
avp.exe

調用GetWindowsTextA函數 獲得當前窗口標題
并調用PostMessageA函數試圖發送WM_CLOSE,WM_DESTROY,WM_QUIT指令關閉帶有如下字樣的窗口
卡卡
江民
金山
任務管理器
木馬清道夫
木馬克星
超級巡警
NOD32核心
安全
安全衛士
木馬殺客
NOD32
內核
OD
微點

調用FindWindowA函數查找如下窗口 并試圖調用PostMessageA函數向其發送WM_CLOSE指令 關閉窗口
AVP.AlertDialog
AVP.Product_Notification
AVP.Product_Noti

調用cmd.exe 執行net stop sharedaccess命令 關閉Windows自帶的防火墻服務

C:\WINDOWS\system32\lovesbl.dll插入svchost.exe進程
利用svchost.exe執行下載木馬操作
下載（ip地址為遼寧大連網通）
到C:\Documents and Settings下面 并分別命名為servciesa.exe~servciesc.exe
下載間隔200ms

測試中（servciesc.exe）鏈接已失效

servciesa.exe為一感染下載者
下載但下載鏈接已失效
感染除以下文件夾下的exe文件
WINDOWS
WINNT
RECYCLE
System Volume Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings
被感染文件被加入593字節的內容 圖表不變 感染方式還得請高手來指教...

servciesb.exe
注冊服務WindowsRemote
啟動類型：自動
顯示名稱：Windows Accounts Driver
也是一個木馬下載者 但下載鏈接失效

病毒全部動作完畢以后，sreng日志如下：
服務
[A GooD DownLoad CAHW / AnHao_VIP_CAHW][Running/Auto Start]

[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]

==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
解決方法：

下載sreng

解壓后運行srengps.exe

“啟動項目”-“服務”- Win32服務應用程序”中點 ldquo;隱藏經認證的微軟項目”，
選中以下項目，點ldquo;刪除服務”，再點“設置”，在彈出的框中點“否”：
A GooD DownLoad CAHW / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote

重啟計算機

雙擊我的電腦，工具，文件夾選項，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護的操作系統文件（推薦）"前面的鉤。在提示

確定更改時，單擊“是” 然后確定
點擊 菜單欄下方的 文件夾按鈕（搜索右邊的按鈕）

刪除如下文件
C:\WINDOWS\system32\chostbl.exe
C:\sbl.exe
C:\autorun.inf
C:\WINDOWS\system32\servciesa.exe~servciesc.exe（如果有的話）在左邊的資源管理器中單擊其他盤（千萬不要雙擊打開）
刪除sbl.exe autorun.inf