位置導航:網站首頁<<<U盤行業知識<<<U盤病毒ah.exe 查殺
U盤病毒ah.exe 查殺
U盤病毒ah.exe 查殺
這是一個類似AV終結者的木馬下載器,具有U盤傳播,關閉殺毒軟件和指定窗口并下載木馬的功能
AV命名:Trojan.DL.Win32.Autorun.yuz(瑞星)
技術細節:
1、釋放病毒副本:
%systemroot%\system32\dream.exe
%systemroot%\system32\sbl.inf
%systemroot%\system32\plmmsbl.dll
各個分區釋放autorun.inf和ah.exe
%systemroot%\system32\sbl.inf與autorun.inf內容相同
2.添加注冊表啟動項目
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
下添加 {melove}{%systemroot%\system32\dream.exe}
和{dream}{%systemroot%\system32\dream.exe}的啟動項目
3.啟動一個svchost.exe 然后利用
3.調用cmd.exe 執行cmd.exe /c net stop sharedaccess的命令 關閉Windows自帶的防火墻
4.結束如下進程
360safe.exe
360tray.exe
avp.exe
5.檢測窗口,關閉帶有如下字樣的窗口
防火墻
任務管理器
木馬清道夫
木馬克星
超級巡警
NOD32核心
微點
安全衛士
木馬殺客
NOD32 內核
殺毒
江民
金山
6.調用CreateProcess打開進程%systemroot%\system32\svchost.exe,把%systemroot%\system32\plmmsbl.dll注入到svchost.exe中,并調用urlmon.dll實現下載功能
下載
到c盤并命名為a.exe(或者b.exe ,c.exe)
會釋放一個winsys16_071012.dll(文件名不固定,病毒幾乎每天都在更新)到%systemroot%\system32\下面
并利用rundll32.exe加載
此病毒也是一個類似AV終結者的下載者病毒
添加啟動項目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
下面添加
向瑞星的IE執行保護 發送允許的指令
向卡巴的安全警告 發送允許或者跳過的指令
并可關閉如下字樣的窗口(包括但不限于)
卡巴斯基
瑞星
安全衛士
省略N多......
之后病毒又會接連下載幾個木馬程序
---------------------------------------------------------------------------
解決方法:
下載冰刃 有的下
sreng有的下
1.打開Icesword
進程欄中 結束dream.exe和rundll32.exe
單擊 左下角文件按鈕
刪除如下文件
%systemroot%\system\AlxRes071012.exe
%systemroot%\system32\inf\scrsys071012.scr
%systemroot%\system32\inf\scrsys16_071012.dll
%systemroot%\system32\mywebhit.ini
%systemroot%\system32\wincheck071008.dll
%systemroot%\system32\wincheck071008.exe
%systemroot%\system32\winsys16_071012.dll
%systemroot%\system32\winsys32_071012.dll
%systemroot%\checkcj.ini
%systemroot%\mwinsys.ini
%systemroot%\system32\dream.exe
%systemroot%\system32\sbl.inf
%systemroot%\system32\plmmsbl.dll
以及每個分區下面的
ah.exe 和autorun.inf
2.
打開注冊表,搜索“dream.exe”刪除
再刪除如下項目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
{mscheck}{rundll32.exe %systemroot%\system32\wincheck071008.dll mymain}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{Userinit}{rundll32.exe %systemroot%\system32\winsys16_071012.dll start}
U盤訂購熱線:0755-84524848 手機:13928466681 QQ: 384029020 24小時手機接聽:139 2846 6681 電郵:[email protected] 或與在線客服人員聯絡。欲了解更多U盤信 息請進正益通U盤廠家的U盤定制網站:http://www.jblpy.com 大客戶聯系: 13926502725 海外銷售: 0086-755-33078349
點擊更多U盤生產車間視頻實錄以上就是正益通U盤生產廠家事業部對于U盤病毒ah.exe 查殺話題的介紹,還有什么不了解的地方請直接咨詢U盤工廠在線客服,她們會一一為您解答。