科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道U盘病毒auto.exe的手工清除方法

U盘病毒auto.exe的手工清除方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2007年病毒、木马、恶意程序异常活跃,大有横行互联网,我是病毒我怕谁之势。很多网友都曾丢失过个人信息,这包括游戏帐号、QQ号码,甚至银行帐户等,造成这些帐号丢失的元凶,大概归纳起来有三种病毒:一是QQ尾巴病毒,二是下载者病毒,三是网马病毒。

作者:论坛整理 来源:zdnet网络安全 2008年2月22日

关键字: 杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

  • 评论
  • 分享微博
  • 分享邮件

2007年病毒、木马、恶意程序异常活跃,大有横行互联网,我是病毒我怕谁之势。很多网友都曾丢失过个人信息,这包括游戏帐号、QQ号码,甚至银行帐户等,造成这些帐号丢失的元凶,大概归纳起来有三种病毒:一是QQ尾巴病毒,二是下载者病毒,三是网马病毒。

一、QQ尾巴病毒中毒症状:自动的向QQ所有好友列表发送一句话,内容多以色情,诈骗为主。如:“这是我的照片”,“最近好久不见,十分想念,我自己做了一个网站”,还有的是“我最近遇到一些困难,有没有钱能接济下,这是我的银行卡号和开户信息等”。

二、下载者病毒:通过移动存储介质感染,如U盘、手机存储卡、DV/DC的存储卡。通常该病毒会伪装成一个.jpg.exe文件,由于多数用户只注意jpg,却没有注意后缀的.exe,当点击运行后,病毒会自动下载大量的盗号木马和做键盘记录,驻留在系统temp文件里面。这样机器就被远程控制了,当用户进行网银交易时,帐号、密码统统的都被远程控制者得到。

三、网马顾名思义就是网页木马,一些入侵者用入侵技术得到一些大流量访问站点的后台帐号,在主站上面挂上编写好的网页木马,在一些访问者访问网站的时候被悄无声息的安装到了本机上面,成为了一个带菌者。现在网马的种类也很多,利用的途径也曾出不穷,最近比较流行的有迅雷0day网马,ppstream网马,pplive网马,realplayer网马。

上面简单介绍了流行病毒、木马,而最近,U盘病毒非常盛行,最典型的就是就是auto.exe病毒。如图1:

图1

双击系统盘符时,出现让你选择用哪种关联文件打开的对话框,而右键单击时,弹出的菜单里增加了一个auto的选择,如果你的系统出现这个情况,那就代表系统已经被感染。

这种病毒出现已经有一段时间了,最近新变种为了躲避杀毒软件,利用了空字节写入,修改系统日期,以卡巴为例,如图2

图2

上图中卡巴(avp)是灰色的,而系统日期时间为2005年12月10日,如图3:

图3

我们把系统时间修改为正确后,再看一下下avp的颜色,如图4:

U盘病毒auto.exe的手工清除方法(图四)

图4

分析:

该病毒被种植后,会自动访问一个地址为xxxx.xxxxx.com 的站点,下载随机生成的7位编码.exe文件,这些exe文件都保存在c:\documents and settings 下的local setting目录下面的tempporary internetfiles文件目录里面如图5:

图5

这里的update.txt和f2b4657b556.exe就是刚刚生成的木马程序,这个f2b4657b556.exe是随机生成的,经过测试,每次都不一样。病毒为了保全自己还会在system32下面生成大量的dll文件。如图6:

图6

从文件生成日期来看,都是最新生成的文件,而此前未中auto.exe的时候是没有这些DLL文件的,里面还有一个随机生成的.exe文件,生成日期为,12月9日。通过查看系统隐藏文件可以看到这些文件,在所有硬盘分区中都有auto.exe和autoruan.inf。直接删除是肯定不成的。因为在Windows目录里面,还有很多生成文件,比如扩展名为exe和log的文件及文件夹,如图7

图7

由于auto.exe带有进程注射,不能直接删除system32文件夹下新生成的dll和exe文件,可以使用icesword找出有问题的进程。先终止可疑相关进程,再删除文件。

下面是可疑文件:

upxdnd.dll,LotusHlp.dll,mppds.dll,SHQ.dll,SHQMANGR.dll,LYMANGR.dll,mhshal.dat,LYLOADMR.exe,K119742729615.exe,K119742729312.exe,LHOADER.exe

如果装了专用防火墙,则会弹出如下提示框:

图8

该病毒试图访问连接到222.73.26.9这个目标站点上,可以肯定,这个IP地址一定是远程控制终端。下面就要删除这些该死的东西。

先把icesword打开,然后点进程,如图9:

图9

这些关键系统进程里面肯定存在一点害群之马,那么如何将驻留在系统进程里面的坏东西清除出去呢?右键单击关键进程,再选择弹出的模块信息,就可以看到里面包含的DLL(动态链接库)。

我们按照得到的那个文件列表,在关键系统进程里面操作,如图10:

图10

强制解除就可以了。经过重复的操作,再删除那些文件就可以了,另外有些EXE文件是删除不掉的,遇到这样的文件只要放到桌面上,经过连续的两次重新启动即可删除。

注:上面是针对流行的AUTO病毒的手工清除办法,如果大家系统中没有icesword分析工具,也可以通过其他手段查找相应的进程,这里就不再一一介绍。其实针对AUTO病毒有已经有很多专杀工具,51CTO安全频道专门针对这种U盘病毒推出查杀专题,希望能给各位网友带来帮助。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章