您所在的位置:网络安全 > 安全观察 > U盘病毒auto.exe的手工清除方法

U盘病毒auto.exe的手工清除方法

2007-12-27 13:33 子明 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

本文是针对流行的AUTO病毒的手工清除办法,如果大家系统中没有icesword防火墙工具,也可以通过其他手段查找相应的进程,这里就不再一一介绍。其实针对AUTO病毒有已经有很多专杀工具,51CTO安全频道专门针对这种U盘病毒推出查杀专题,希望能给各位网友带来帮助。

AD:

【51CTO.com 专家特稿】2007年病毒、木马、恶意程序异常活跃,大有横行互联网,我是病毒我怕谁之势。很多网友都曾丢失过个人信息,这包括游戏帐号、QQ号码,甚至银行帐户等,造成这些帐号丢失的元凶,大概归纳起来有三种病毒:一是QQ尾巴病毒,二是下载者病毒,三是网马病毒。

一、QQ尾巴病毒中毒症状:自动的向QQ所有好友列表发送一句话,内容多以色情,诈骗为主。如:“这是我的照片”,“最近好久不见,十分想念,我自己做了一个网站”,还有的是“我最近遇到一些困难,有没有钱能接济下,这是我的银行卡号和开户信息等”。

二、下载者病毒:通过移动存储介质感染,如U盘、手机存储卡、DV/DC的存储卡。通常该病毒会伪装成一个.jpg.exe文件,由于多数用户只注意jpg,却没有注意后缀的.exe,当点击运行后,病毒会自动下载大量的盗号木马和做键盘记录,驻留在系统temp文件里面。这样机器就被远程控制了,当用户进行网银交易时,帐号、密码统统的都被远程控制者得到。

三、网马顾名思义就是网页木马,一些入侵者用入侵技术得到一些大流量访问站点的后台帐号,在主站上面挂上编写好的网页木马,在一些访问者访问网站的时候被悄无声息的安装到了本机上面,成为了一个带菌者。现在网马的种类也很多,利用的途径也曾出不穷,最近比较流行的有迅雷0day网马,ppstream网马,pplive网马,realplayer网马。

上面简单介绍了流行病毒、木马,而最近,U盘病毒非常盛行,最典型的就是就是auto.exe病毒。如图1:

图1

双击系统盘符时,出现让你选择用哪种关联文件打开的对话框,而右键单击时,弹出的菜单里增加了一个auto的选择,如果你的系统出现这个情况,那就代表系统已经被感染。

这种病毒出现已经有一段时间了,最近新变种为了躲避杀毒软件,利用了空字节写入,修改系统日期,以卡巴为例,如图2

图2

上图中卡巴(avp)是灰色的,而系统日期时间为2005年12月10日,如图3:

图3

我们把系统时间修改为正确后,再看一下下avp的颜色,如图4: 

图4

分析:

该病毒被种植后,会自动访问一个地址为xxxx.xxxxx.com 的站点,下载随机生成的7位编码.exe文件,这些exe文件都保存在c:\documents and settings 下的local setting目录下面的tempporary internet files文件目录里面如图5:

图5


这里的update.txt和f2b4657b556.exe就是刚刚生成的木马程序,这个f2b4657b556.exe是随机生成的,经过测试,每次都不一样。病毒为了保全自己还会在system32下面生成大量的dll文件。如图6:

图6

从文件生成日期来看,都是最新生成的文件,而此前未中auto.exe的时候是没有这些DLL文件的,里面还有一个随机生成的.exe文件,生成日期为,12月9日。通过查看系统隐藏文件可以看到这些文件,在所有硬盘分区中都有auto.exe和autoruan.inf。直接删除是肯定不成的。因为在Windows目录里面,还有很多生成文件,比如扩展名为exe和log的文件及文件夹,如图7

图6
 

由于auto.exe带有进程注射,不能直接删除system32文件夹下新生成的dll和exe文件,可以使用icesword找出有问题的进程。先终止可疑相关进程,再删除文件。

下面是可疑文件:

upxdnd.dll,LotusHlp.dll,mppds.dll,SHQ.dll,SHQMANGR.dll,LYMANGR.dll,mhshal.dat,LYLOADMR.exe,K119742729615.exe,K119742729312.exe,LHOADER.exe

如果装了专用防火墙,则会弹出如下提示框:

图7

该病毒试图访问连接到222.73.26.9这个目标站点上,可以肯定,这个IP地址一定是远程控制终端。下面就要删除这些该死的东西。

先把icesword打开,然后点进程,如图8:

图8

这些关键系统进程里面肯定存在一点害群之马,那么如何将驻留在系统进程里面的坏东西清除出去呢?右键单击关键进程,再选择弹出的模块信息,就可以看到里面包含的DLL(动态链接库)。

我们按照得到的那个文件列表,在关键系统进程里面操作,如图9:

图9

强制解除就可以了。经过重复的操作,再删除那些文件就可以了,另外有些EXE文件是删除不掉的,遇到这样的文件只要放到桌面上,经过连续的两次重新启动即可删除。

编者注:上面是针对流行的AUTO病毒的手工清除办法,如果大家系统中没有icesword分析工具,也可以通过其他手段查找相应的进程,这里就不再一一介绍。其实针对AUTO病毒有已经有很多专杀工具,51CTO安全频道专门针对这种U盘病毒推出查杀专题,希望能给各位网友带来帮助。                   

【51CTO.COM 独家特稿,转载请注明出处及作者!】

【相关文章】

【责任编辑:赵毅 TEL:(010)68476606】



分享到:

  1. 你已关闭了的浏览器还可能被利用来挖矿, chrome已中招
  2. 重定义边界网络安全:混合才是未来

热点职位

更多>>

热点专题

更多>>

读书

The Ruby Way(第二版)中文版
本书采用“如何解决问题”的方式阐述Ruby编程,涵盖了以下内容:Ruby术语和基本原理;数字、字符串等低级数据类型的操作;正则表

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院