AV终结者病毒实例
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
一、感染症状1、更改注册
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox2,隐藏“文件夹选项”中的“隐藏受保护的操作系统文件”项,阻止显示系统属性的文件2、在每个盘符下生成autorun.inf、icnskem.exe,并会下载VBurl.exe到C:\3、在C:\programFiles下生成meex.exe4、在C:\programFiles\CommonFiles\MicrosoftShared下生成具有隐藏/系统属性的文件xoqommy.inf、tydfjbr.exe5、在C:\programFiles\CommonFiles\System下生成具有隐藏/系统属性的文件xoqommy.inf、amtrtpn.exe6、增加amtrtpn.exe、tydfjbr.exe的启动项7、添加注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOpeions,实现映像劫持,阻止运行反病毒软件、系统分析/修复工具等工具软件8、进程中有amtrtpn.exe、tydfjbr.exe两个进程互相守护,结束其中任一进程时,任务管理器也同时被结束,待再次打开任务管理器时,被结束的进程已经再次运行。9、下载病毒文件到C:\DocumentsandSettings\Administrator\LocalSettings\Temp10、下载病毒文件到C:\DocumentsandSettings\Administrator\LocalSettings\TemporayInternetFiles11、下载病毒文件到C:\windows\Fonts文件12、添加注册表项,使病毒注入Explorer.exe进程13、修改系统时间为2001年二、手动清除1.结束tydfjbr.exe和amtrtpn.exe进程任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)"。新建文本文档killprocess.txt,内容如下:ntsd-cq-pPID1ntsd-cq-pPID2把PID1和PID2,改成tydfjbr.exe和amtrtpn.exe进程的ID。将该killprocess.txt文件扩展名改成.bat双击killprocess.bat,结束tydfjbr.exe和amtrtpn.exe进程2.删除注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中amtrtpn.exe、tydfjbr.exe的启动项3.删除注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOpeions4.删除注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecutehooks项中病毒相关的键5.修改注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox,显示文件夹选项中的“隐藏受操作系统保护的系统文件”,显示系统属性文件6.在文件夹选项中,去掉选择“隐藏受保护的操作系统文件”,选择“显示所有文件和文件夹”7.备份并删除前述“一、感染症状”2、3、4、5、9、10中的病毒文件8.由于资源管理中无法显示C:\Windows\Fonts文件夹中除字体文件以外的其他格式文件,所以需要先重新启动计算机,开始-运行-cmd,在命令行模式下执行如下命令:清除病毒文件的系统/隐藏属性,然后将所有dll文件copy到备份文件夹,删除C:\Windows\Fonts下的所有dll和exe文件。9.修改系统时间至正常时间10.将V3不能查杀的病毒文件加密码virus压缩成zip格式发送到support@ahn.com.cn三、Autorun病毒的预防1、关闭自动播放点“开始”→“运行”,在对话框中输入“gpedit.msc”,“确定”,在组策略“计算机配置”→“管理模板”→“系统”,双击“关闭自动播放”,在“设置”中选“已启用”,“关闭自动播放:所有驱动器”,确定;2、在各磁盘分区、优盘分别建立名为autorun.inf、icnskem.exe的文件夹,阻止生成autorun.inf和icnskem.exe病毒文件;3、培养良好的电脑使用习惯,使用资源管理器的文件夹栏打开磁盘分区和优盘,从而避免双击打开优盘及磁盘分区时触发autorun病毒;对外来优盘、下载的文件查杀病毒后再使用;避免访问非法网站、个人网站等危险站点。
浙公网安备 33021202002483