科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道专家:auto.exe病毒全解析

专家:auto.exe病毒全解析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

孤独更可靠原创文章,很经典!auto.exe病毒全解析。

作者:孤独更可靠 2007年11月1日

关键字: auto.exe auto.exe病毒 auto.exe病毒专杀 auto.exe病毒专杀工具 如何删除auto.exe病毒

  • 评论
  • 分享微博
  • 分享邮件

File name: Auto.exe
File size: 18215 bytes
CRC32     : AC9BE9A7
MD5: f21c33d66bccde144a41ccabd32c2606
SHA1: f56131a1f4b2af393c36ea56794293a093b8138f
SHA160    : F56131A1F4B2AF393C36EA56794293A093B8138F
packers: NSPack, PE_Patch
Languages:Delphi


运行``首先检测AVP.exe和卡吧的窗口,如有找到,则释放批处理,修改日期````
 
修改为2005-01-18```直接挂掉卡吧。。。(未验证)
 
后释放:
 
%systemroot%\system32\7DBC4CD0.EXE  18215 字节
(注册为系统服务)
%systemroot%\system32\83AA9DB8.DLL   11888 字节
 
83AA9DB8.DLL使用远程创建线程技术插入动态进程```
 
 
都是8位随机的数字,所以每个电脑上病毒名字都不一样,清除起来比较麻烦``
 
不确认的话对照文件大小``18215 字节11888 字节
 
后连接外部下载一大推乱七八糟的木马```
 
(穿防火墙,并绕过SSM的ND!)
 
83AA9DB8.DLL驻宿主,监视自身同党的存在``并检测移动介质的介入```
 
尝试在移动盘下生成Autorun.inf 和Auto.exe,Autorun.inf 内容:
 
[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\Auto\command=auto.exe
 
 
解决方法:
 

 

 
后关闭不必要的进程``断开网络``完成下面之前不要进入C-F盘!
 
1、首先打开冰刃,文件—设置—禁止进线程创建—确定,然后用冰刃的“文件功能”删除:
 
(如果进程里看见的话,最好先用冰刃关闭``)
 
C:\Autorun.inf
C:\auto.exe
D:\Autorun.inf
D:\auto.exe
E:\Autorun.inf
E:\auto.exe
F:\Autorun.inf
F:\auto.exe
C:\Windows\AVPSrv.exe
C:\Windows\cmdbcs.exe
C:\Windows\MsIMMs32.exe
C:\Windows\WinForm.exe
C:\Windows\system32\$$a.bat
C:\Windows\system32\7DBC4CD0.EXE(随机数字,每台机都不一样)
C:\Windows\system32\83AA9DB8.DLL(随机数字,每台机都不一样)
C:\Windows\system32\AVPSrv.dll
C:\Windows\system32\cmdbcs.dll
C:\Windows\system32\delme.bat
C:\Windows\system32\k11839413402.exe
C:\Windows\system32\k11839413424.DAT
C:\Windows\system32\k11839413424.exe
C:\Windows\system32\k11839413446.exe
C:\Windows\system32\k11839413478.exe
C:\Windows\system32\k118394134910.exe
C:\Windows\system32\k118394135212.exe
C:\Windows\system32\mosou.exe
C:\Windows\system32\MsIMMs32.dll
C:\Windows\system32\nslookupi.exe
C:\Windows\system32\nwizdh.exe
C:\Windows\system32\nwizqjsj.exe
C:\Windows\system32\nwizwlwzs.exe
C:\Windows\system32\nwizzhuxians.exe
C:\Windows\system32\Packet.dll
C:\Windows\system32\WanPacket.dll
C:\Windows\system32\WinForm.dll
C:\Windows\system32\wpcap.dll
C:\Windows\system32\drivers\npf.sys(删前这个最好先备份)
 
2、重设冰刃,去掉“进线程创建”—确定。打开SREng,删除:
 
注册表:
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
     <AVPSrv><C:\winnt\AVPSrv.exe>   []
     <WinForm><C:\winnt\WinForm.exe>   []
     <MsIMMs32><C:\winnt\MsIMMs32.exe>   []
     <cmdbcs><C:\winnt\cmdbcs.exe>   []
 
服务:
 
[B9A34AC4 / B9A34AC4][Stopped/Auto Start]
   <C:\winnt\system32\7DBC4CD0.EXE -k><Microsoft Corporation>
 
3、重启电脑```修改QQ、邮箱等密码。。。
 
如果有删除不掉的,在我网盘再下载个PowerRMV。。。。
 
图片点击可在新窗口打开查看
 
 
 
 
 
 
 
 

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号