一:bbyb.exe病毒中毒症状及分析:
%system%文件夹中的wuauclt.exe是WINDOWS自动更新的客户端。
然而,今天说的这个wuauclt.exe非%system%文件夹中的那个wuauclt.exe。这个位于%windows%文件夹中。
今天VirusTotal多引擎扫描结果,只有4家报,其中3家报可疑;AntiVir的启发式报“恶意程序。4家均未给出具体名称。
连接网络时,运行这个wuauclt.exe,它通过80端口访问61.128.196.671创建下列文件:
C:windowswuauclt.exe
C:windowsbbyb.exe
C:windowsbbybs.exe
C:windowsbbyb.dll
C:windowsies.dll
C:windowsnoruns.reg(将其中内容导入注册表后,此文件被自动删除。)
在系统分区以外的所有分区根目录以及U盘根目录下创建sxs.exe和autorun.inf。
其中C:windowsbbyb.dll动态插入应用程序进程。
C:windowswuauclt.exe删除注册表中瑞星、KV、卡巴斯基以及雅虎助手的启动项和服务项。有意思的是,它还删除一个流行木马NTdhcp.exe的启动项。
添加的注册表启动项为:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Microsoft
bbyb.exe病毒清除办法详解:
结束C:windowswuauclt.exe进程。
该进程结束后,U盘中的sxs.exe和autorun.inf可直接删除。删除后,将U盘拔出。
然后,删除下列文件:
C:windowswuauclt.exe
C:windowsbbyb.exe
C:windowsbbybs.exe
C:windowsbbyb.dll
C:windowsies.dll
删除其启动项。
二:3C352CC8.EXE,AFF1CD48.DLL等 Worm.Win32.AutoRun.cyh分析解决方案
病毒标签:
病毒名称: Worm.Win32.AutoRun.cyh
病毒类型: 蠕虫
文件 MD5: 6994C1D484036067449C8E776F0F4EF9
公开范围: 完全公开
危害等级: 4
文件长度: 加壳后17,039 字节 脱壳后169,472字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++
加壳类型: WinUpack 0.37-0.39
病毒描述:
该病毒为蠕虫病毒。该病毒运行后,衍生病毒文件到系统目录%system32%下;
并在每个逻辑盘符下衍生autorun.inf和病毒文件auto.exe,利用移动设备进行
传播;创建服务,达到随机启动的目的;锁定文件夹选项下的“不显示隐藏的文
件和文件夹”项,以隐藏病毒文件;删除报错服务,以防止病毒运行后使系统出
现错误时提示用户。连接网络下载大量病毒文件,由于病毒种类繁多,给用户清
理病毒带来极大的不便。
行为分析:
本地行为:
1、 文件运行后会释放以下文件:
%DriveLetter%autorun.inf 78 字节
%DriveLetter%auto.exe 17,039字节
%System32<352CC8.EXE 17,039字节
%System32%AFF1CD48.DLL 61,440 字节
2、创建病毒服务,随机启动运行病毒文件:
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
注册表值: "ImagePath"
类型: REG_SZ
字符串: “C:\WINDOWS\system32\3C352CC8.EXE -k”
描述:启动病毒服务文件的映像路径
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
注册表值: "Description "
类型: REG_SZ
字符串: “AFF1CD48”
描述:服务描述
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
注册表值: "DisplayName"
类型: REG_SZ
字符串: “83F6EA98”
描述:服务名
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
注册表值: "Start"
类型: DWORD
值: 2 (0x2)
描述:服务的启动方式为自动
3、修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue]
新建键值:DWORD: 0 (0)
原键值:DWORD: 1 (0x1)
描述:隐藏含有隐藏属性的病毒文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\PCHealth\ErrorReporting\DoReport]
新建键值:DWORD: 0 (0)
原键值:DWORD: 1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\PCHealth\ErrorReporting\ShowUI]
新建键值:DWORD: 0 (0)
原键值:DWORD: 1 (0x1)
描述:禁止显示错误报告
4、删除报错服务相关的注册表键值:
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\ERSvc]
注册表值: "Description "
类型: REG_SZ
字符串: “服务和应用程序在非标准环境下运行时允许错误报告”
描述:服务描述
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\ERSvc]
注册表值: "DisplayName"
类型: REG_SZ
字符串: “Error Reporting Service”
描述:服务名称
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\ERSvc]
注册表值: "ImagePath"
类型: REG_SZ
字符串: “%SystemRoot%\System32
\svchost.exe -k netsvcs”
描述:启动服务的映像路径
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\ERSvc]
注册表值: "Start"
类型: DWORD
值: 2 (0x2)
描述:服务的启动方式为自动
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:
www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL“进程管理”关闭病毒进程:
(2)删除病毒文件:
%DriveLetter%autorun.inf
%DriveLetter%auto.exe
%System32<352CC8.EXE
%System32%AFF1CD48.DLL
(3)删除病毒服务注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
(4)创建报错服务注册表相关键值,可以通过在其他一台正
常机器也安装与你同样操作系统中导出报错服务的注册表项,
拷贝至本机进行导入。
(5)恢复注册表键:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL\]
把CheckedValue值改为1,使用户可以选择
“显示所有文件和文件夹”。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\PCHealth\ErrorReporting\]
把DoReport和ShowUI值都改为1,以显示错误报告。
三:Thumbs.db系统病毒清除办法
Thumbs.db只是一个图片索引文件,可以加速你用缩略图方式查看图片,会随着文件夹的图片的增多也体积增大。本来只要你硬盘够大,这个文件也没什么影响,但很多朋友在上传东西到服务器时,往往会不小心把这个文件也传了上去,有点不好。 从Windows 98开始,系统增加了图片预览功能,保存了图片的文件夹下会产生一个名为“Thumbs.db”的文件,这个文件会随着图片文件的增加而膨胀。奇怪的是,这个文件被删除后下次预览图片时它又会自动生成,有什么办法让它永远消失呢?
Windows 9x/Me系统
用鼠标右键点击已开启缩略图功能的文件夹,通过弹出的快捷菜单打开“属性”对话框,在窗口中清空“启用缩略图查看方式”复选框前的“√”。
Windows 2000/XP/2003 系统
Windows 2000/XP/2003在默认情况下采用缩略图功能,但通过设置即可禁止在所有的图片文件夹中自动生成“Thumbs.db”文件:在 “控制面板”中双击“文件夹选项”,在“文件夹选项”对话框中切换到“查看”标签,在“不缓存缩略图”复选框前打上“√”(如图),再点击“确定”按钮退出即可。
将“Thumbs.db”文件一网打尽
经过上面的设置,以后所有的文件夹将不会自动生成“Thumbs.db”文件了,但原来已经生成的诸多“Thumbs.db”文件不会自动消失,必须手工将其删除。显然,一个一个地删除非常麻烦,我们可以利用以下方法将它们一网打尽:
打开资源管理器,点击工具栏上的“搜索”按钮,在左侧的“搜索助理”栏中点击“改变首选项”,在系统提示:“您想怎样使用搜索助理?”时,点击中间的 “改变文件和文件夹搜索行为”,然后在“选择默认的文件和文件夹搜索行为”中选择“高级-包括手动输入搜索标准的选项”,点“确定”按钮即可看到很多高级选项。选中“搜索隐藏的文件和文件夹”前的复选框,接下来再搜索“Thumbs.db”文件吧,将搜索到的文件全部删除即可。
四:ntkapi.sys,debug.exe,taskmgr.exe等恶意程序清除解决方案
恶意程序Trojan-GameThief.Win32.OnLineGames.tags会修改系统文件debug.exet和taskmgr.exe;通过直接读写磁盘来穿透还原软件;还会下载其他大量恶意程序,盗取用户敏感信息。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-GameThief.Win32.OnLineGames.tags
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:15,956(字节)
S H A 1 :b7628789c87f07c1574cc9c0828edb87e5dceeac
加壳类型:UPack
开发工具:Microsoft Visual C++
病毒行为:
1、释放文件:
%Windir%*.exe //*为四位随机字母
%System%driversntkapi.sys
修改文件:
%System%dllcachetaskmgr.exe
2、加载驱动文件ntkapi.sys,直接读写磁盘;
用恶意代码直接写入文件%System%debug.exe。
2、程序*.exe执行后,会停止服务:ekrn、NOD32krn;
调用taskkill.exe终止以下进程:
ekrn.exe、egui.exe、nod32krn.exe、nod32kui.exe。
3、通过连接[url=http://www.google.cn和
www.baidu.com/]
www.google.cn和www.baidu.com[/url]来测试是否处于联网状态;
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:
http://www.sucop.com/download/16.html
手工清除方法:
1、结束病毒进程。打开超级巡警,选择进程管理功能,终止*.exe进程。
2、删除病毒生成的文件。
3、删除病毒的启动项。打开超级巡警,选择启动管理,删除可疑的启动项。
4、替换回正常的系统文件taskmgr.exe和debug.exe。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设 置为可写或可控制。 5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
五:userini.exe(Generic Dropper.av)等天堂2木马清除解决方案
文件名称:userini.exe
文件大小:20,480 bytes
病毒命名:Generic Dropper.av
文件MD5:3DAA1E4B6A1F7CA5A108E7BDFB0074F2
加壳方式:Upack
病毒类型:木马
主要行为:
1、释放文件:
C:\Windows\System32\userini.exe
24,576 bytes
2、未添加任何启动,病毒体执行后即一直存在于内存。
3、会检测天堂2的程序启动。并记录其输入账号密码的操作。
4、通过80端口,发送记录的账号密码至70***7.ru 80。
解决方法:
1、重启计算机,删除文件:
C:\Windows\System32\userini.exe
24,576 bytes
2、打开注册表,查找有关于“userini.exe”的键值,并删除。
3、修改网游密码。
六:Trojan-Spy.Win32.Pophot.afw分析解决方案
病毒标签:
病毒名称: Trojan-Spy.Win32.Pophot.afw
病毒类型: 木马类
文件 MD5: 45B47482907438DFBF48E3F570B5AC4C
公开范围: 完全公开
危害等级: 4
文件长度: 94,776 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: 未知壳
病毒描述:
该病毒为间谍木马,病毒运行后复制自身到系统目录,并重命名为
ccwle080305.exe,衍生病毒文件,使用bat批处理删除原文件。添加启动项,
以达到随机启动的目的。将衍生DLL文件插入IE中进行病毒文件下载与信息收
集的目的。通过恶意网站、其它恶意代码下载传播。
行为分析:
本地行为:
1、 文件运行后会衍生以下文件:
%System32\ccwld16_080305.dll 22,016字节
%System32\ccwld32_080305.dll 181,248字节
%System32\ccwle080305.exe 94,776字节
%Windir%\ccwl16.ini 256字节
2、在“%\Documents and Settings%\All Users\「开始」菜单\程序\启动\”
目录下添加快捷方式“msword.lnk”,该快捷方式指向:
C:\WINDOWS\system32\ccwle080305.exe,
以达到启动病毒的目的。
3、ccwl16.ini为病毒体配置文件,该病毒体在释放文件前读取该配置文件信息,
具体信息如下:
[hitpop]
ver=080305
kv=0
[exe]
fn=C:\WINDOWS\system32\ccwle080305.exe
[dll_hitpop]
fn=C:\WINDOWS\system32\ccwld32_080305.dll
[dll_start]
fn=C:\WINDOWS\system32\ccwld16_080305.dll
[ie]
run=no
[alexa]
right_tan88=ok
[sys]
bat=c:\ccwlDelmt.bat
4、跳过IE执行保护,瑞星卡卡上网安全助手弹出对话框,及IE其它安全警告对话框;
达到更好的隐藏自身。
网络行为:
1、 后台开启IE,注入ccwld32_080305.dll,连接网络:
218.2.25.***:下载病毒列表
218.2.25.***:下载病毒080221.exe
还会下载其它网页信息。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:
www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线或ATool中的“进程管理”关闭病毒进程:
关闭后台开启的IE进程
(2)强行删除病毒文件:
System32\ccwld16_080305.dll 22,016字节
%System32\ccwld32_080305.dll 181,248字节
%System32\ccwle080305.exe 94,776字节
%Windir%\ccwl16.ini 256字节
%\Documents and Settings%\All Users\
「开始」菜单\程序\启动\ msword.lnk
(3)清空IE临时文件夹与历史记录,以彻底删除病毒下载相关文件。
