关于“wuauclt.exe”病毒的清理<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

2008年8月18日中午1点接到8777的一份关于行政楼505办公室病毒故障通知，经过检查发现此网段中存在ARP欺骗***，导致营销部门的505等三间办公室出现大面积不能访问网络，但可以使用eTerm，在通过多查看台PC的ARP表后，确定源故障机为工号为A00806员工的笔记本，在将其断网后，办公室全部网络通信恢复；  在处理此用户及工号为A02684员工的笔记本（感染同样病毒，但早就将其断网）时，发现办公室网络又出现故障，在检查后，发现又出现ARP欺骗***，经过抓包分析，发现为工号T00279员工的笔记本也感染同一病毒，进行局域网ARP欺骗***导致断网； 在处理此台笔记本时，另一员工的笔记本出现无法关机的情况，经过检查，也感染同一病毒；    至晚上七点半，已经处理了这几台故障机并进行该部门十几名值班人员工作电脑网关ARP绑定（通过360ARP防火墙进行绑定）后恢复正常工作；   在咨询了这几位员工后，大概确定为登录使用了该部门使用的IP为10.110.10.181的共享服务器或读取了邮件后出现故障，不过也不排除使用MSN或QQ感染病毒；   （注：此办公室内部还使用了非管理交换机，无法在交换机上查找记录，且办公人员多、因此导致故障源确定困难，排除耗时---加上处理的时间共处理了6个多小时，其中有四个多小时在确定故障源）； 在2008-8-19早上上班后又出现ARP***导致网络故障，在通过查看ARP表及使用“SolarWinds.Engineer.Edition”软件结合的方法，迅速找到源故障机； 在清理了这几台故障机后，网络已经恢复正常。

查找到的病毒为wuauclt.exe文件，为一“Windows更新”陷阱的病毒文件，但有些病毒体文件又跟网上的资料不同，但可以确定为同一病毒的不同变种，其清除方法如下：

一、确定是否感染此病毒

1、感染此病毒并发作后，最开始的现象是MSN掉线、无法登录；

2、查看“文件夹选项”中的“隐藏文件和文件夹”下的两个单选子项是否都被选定，如果是则感染此病毒，设置“显示所有文件和文件夹”时不起作用，无法显示隐藏文件；

3、无法运行防病毒软件、安全工具软件等安全相关的软件；防病毒软件被禁用；

4、无法进入“安全模式”；

5、在PE工具光盘系统中，可以看到所有分区根目录下有文件名为“RSVS.PIF”或“RVS.PIF”的DOS程序快捷文件、“AUTORUN.INF”文件；

6、在“C:\Documents and Settings”目录下的各用户目录下可能会存在以数字为主文件名的“PIF”类型DOS程序快捷文件：一般在“C:\Documents and Settings\%user%”目录、“C:\Documents and Settings\%user%\「开始」菜单”目录、“C:\Documents and Settings\%user%\「开始」菜单\程序\启动”目录；

7、在“C:\WINDOWS\system32”下有一个14KB大小、隐藏属性的“wuauclt.exe”文件；

8、在各分区的卷标文件夹“System Volume Information”下的目录中有病毒体文件；

二、清除病毒

1、进入PE工具光盘系统中，删除所有分区根目录下有文件名为“RSVS.PIF”或“RVS.PIF”的DOS程序快捷文件、“AUTORUN.INF”文件；

删除“C:\Documents and Settings\%user%”目录、“C:\Documents and Settings\%user%\「开始」菜单”目录、“C:\Documents and Settings\%user%\「开始」菜单\程序\启动”目录下的以数字为主文件名的“PIF”类型DOS程序快捷文件；

删除“C:\WINDOWS\system32”下有一个14KB大小、隐藏属性的“wuauclt.exe”文件；（此病毒可能会到网络服务器上下载各种病毒文件，因此可能会感染其它类型的病毒，在清理病毒时应该确定是否感染其它病毒）；

删除各分区的卷标文件夹“System Volume Information”下的目录；

2、安装“360安全卫士”最新版，并设置“自定义扫描”添加C盘进行病毒的查杀；运行“Windows清理助手”绿化版软件设置自定义扫描C盘，进行病毒的查杀；

4、重启电脑进入正常模式，运行“恶意软件清理助手”软件进行病毒的查杀；安装“360安全卫士”、“金山清理专家”进行病毒的查杀；

5、运行“SysinternalsSuite工具箱”中的“autoruns.exe”工具软件进行病毒的病毒的清理；运行“SReng”进行病毒的清理、系统的修复；运行“360顽固***专杀大全”等安全工具软件进行病毒的清理；

6、当在第5步使用“SReng”进行了系统的修复后，就可以正确设置显示隐藏文件和文件夹，然后确定在第1步中清理的病毒文件是否还存在；

7、通过以上步骤后，重启后再确定是否还存在病毒文件、被修改的设置是否已正常；

 

    因此病毒是最新的病毒，所以在8月18日晚提交了病毒体文件至SYMANTEC安全响应中心后，在今天已经回复了检测结果，病毒定义码将在近两天更新；因无病毒定义码，8月18日晚检查10.110.10.181共享服务器时未检测到病毒，但无法确定是否存在此病毒；

 

此病毒的网上资料如下：

 

大蜘蛛提醒您小心“Windows更新”陷阱

[url]http://www.sina.com.cn  2008[/url]年08月15日 08:53  大蜘蛛

　　最近不少用户反映电脑中了一个貌似Windows更新程序的病毒，中招后很多杀毒软件都束手就擒，右下角的杀软图标都乖乖退出，任由病毒肆意妄为而无可奈何。唯有绿色大蜘蛛及时报警拦截病毒，像一个钢铁战士忠实守卫在他的阵地上。

　　现在的病毒制造者愈发的猖獗和狡猾，不仅病毒破坏力越来越强，其在掩饰方面也是做足了功夫，此病毒就是将图标伪装成Windows更新程序并将其命名为update.exe从而骗过各大网站和网民的眼睛，令其频频中招，给本已不平静的互联网又添波澜。

　　大蜘蛛提醒广大用户：及时更新病毒库，防止中招。

　　笔者简单分析了此病毒的运行行为，以供读者参阅。

　　病毒样本图标如下图：病毒程序及其属性信息均模仿为Windows更新程序。

　　

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

　　1.此病毒运行后启动进程update.exe，释放其本身及动态库文件到系统路径下并将属性设置为隐藏：

　　C:\WINDOWS\system32\wuauclt1.exe

　　C:\WINDOWS\system32\dllcache\wuauclt.exe

　　C:\WINDOWS\system32\w1ninet.dll

　　C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.859\update.EXE

　　2.修改注册表导致无法显示隐藏文件，从而达到隐藏本身的目的：

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0x00000002

　　3.在各个磁盘根目录下复制自身及autorun.inf，用户每次双击打开磁盘，都会调用aoturun.inf运行病毒，同时复制病毒自身到U盘，达到通过U盘传播的目的。

　　

　　4.然后将病毒文件写入启动项(这是一般病毒的常用技俩，用户机器每次启动时，病毒都会随机启动)：

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run “test”=C:\WINDOWS\system32\wuauclt1.exe

　　5.此病毒将系统时间调整为四年前，导致很多杀毒软件的许可文件失效，无法实现扫描功能，因此要遏制此病毒的爆发还是要依赖于杀毒软件的监控能力。

　　

　　大蜘蛛监控程序在病毒运行的第一时间将其拦截，阻止其运行。如下图：

　　

 

 

 

 

      注：怎么使用PE工具光盘清理病毒，请参照我的另一篇文档“最新AppInit_DLLs病毒清理方法”；

 

                               李政

                               2008-8-21最后修改

转载于:https://blog.51cto.com/xingyi/148533

关于“wuauclt.exe”病毒的清理相关推荐

1. sxs.exe病毒及清理办法

   许多朋友都是通过移动盘拷贝东西时被感染的,特别是U盘,特别是在网吧,当你拷完东西是,利用DOS进入你的移动盘dir/a显示所有文件,如果发现中招,有sxs.exe和autorun.inf那么在非根目录 ...

2. Svchost.exe病毒

   Svchost.exe是病毒的两种情况 1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost. ...

3. wuauclt.exe是什么进程?

   原文:http://www.jisu100.com/post/582.html wuauclt.exe是一个什么样的进程呢?而且有些Windows用户会发现wuauclt.exe进程有时候会占用非常大 ...

4. autorun.inf sxs.exe病毒手动解决方法

   autorun.inf sxs.exe病毒手动解决方法 一.确认中已中此病毒: 依次执行 开始--运行--输入"cmd"--输入"X:"(X为盘符可以是D盘,可 ...

5. U盘exe病毒导致电脑中毒解决方案

   U盘插在学校周围的打印店,很容易受到exe病毒的影响,使得U盘中的文件夹变成exe,若电脑中没有杀毒软件或者处于关闭状态的话,容易导致电脑中This computer is being attacke ...

6. 消灭顽固的exe病毒，拯救宝贵的文件

   消灭顽固的exe病毒,拯救宝贵的文件 很多人可能都遇到过一种病毒,它似乎不会让你的电脑崩溃,但它确实入侵了你的电脑(或U盘),并做了些什么.表面现象:所有文件夹都变成了 "文件名.exe&q ...

7. 移动盘同名文件夹EXE病毒

   一.病毒名称 病毒名称:移动盘同名文件夹病毒:文件夹EXE病毒:同名文件夹EXE病毒 木马名称:Worm.Win32.AutoRun.soq 二.中毒特征 移动盘中毒后,移动盘中的所有文件夹被隐藏起来 ...

8. CSDN贴子: rundl132.exe和logo1_.exe病毒如何清除

   主 题:   rundl132.exe和logo1_.exe病毒如何清除(急,谢谢!顶者有分) 作 者:   ronaldo1983 (打光棍的和尚)        Blog 等 级:   信 誉 值 ...

9. stup.exe***病毒的手动解决办法

   病毒文件名:stup.exe 文件路径:C:\PROGRA~1\TENCENT\Adplus\stup.exe(多数情况下) (注:有可能是SOSO的地址栏插件,如果在以上路径找到了,那就是病毒了,要 ...

10. “tel.xls.exe病毒”解决方法

    手动删除"tel.xls.exe病毒"方法:[病毒名字类似,症状如下: 无法显示隐藏文件.系统变慢.CPU经常100%.打开硬盘分区时提示用什么程序打开.硬盘分区右键有Auto字样 ...

最新文章

1. 微生物群落来自哪里，我们说了算-FEAST or SourceTracker
2. 【swift学习笔记】二.页面转跳数据回传
3. VSS admin用户忘记密码的解决方法
4. python中不同类型的数据不能相互运算_PyTorch中Tensor的数据类型和运算的使用
5. 三维匹配_机器视觉——双目视觉的基础知识（视差深度、标定、立体匹配）
6. 一起玩树莓派3+使用Gitlab搭建专业Git服务
7. 假如年少有为不自卑,懂得什么叫做珍惜
8. 通过视频着色进行自监督跟踪
9. Linux 命令之 usermod -- 用于修改用户的基本信息
10. Windows phone 8 是新的起点吗?
11. Qt简介以及如何配置Qt使用VS2010进行开发
12. 验证文件路径的正则表达式（支持网络路径）
13. 华为云应用服务网格最佳实践之从Spring Cloud 到 Istio
14. Java IO学习笔记总结
15. Java：接口文档示例
16. 三星电脑计算机主板图,三星S10E＋拆解图文教程
17. TypeError: can only concatenate list (not “int“) to list
18. Nginx 重定向所有子域名到www
19. 证明：凸多边形裁剪一次最多能够新增一个凸多边形
20. 检测数据库连接泄漏的最佳方法

热门文章

1. html+div+动画效果,CSS3效果：animate实现点点点loading动画效果（一）
2. Salt Returners-作业结果数据返回器的使用与定制开发方法
3. php 将中文字符转英文字母_php 中英文语言转换类
4. 再次哀悼吧！最佳夸浏览器同步 Xmarks 宣布终止服务
5. js实现下载xls文件
6. jink remote server（远程调试）
7. Java流处理之高效读写的缓冲流
8. qq邮件 外发服务器设置,利用腾讯企业邮箱配置外发邮件服务
9. matlab中count()怎么用,count(1)这里面的1是什么意思
10. 给移动硬盘装上LINUX全攻略,给移动硬盘装上LINUX全攻略