Trojan.Win32.Agent.vti的查杀举例
特征和原来的完全相同
瑞星报的Trojan.Win32.Agent.vti只是这个病毒释放的一个dll,由于瑞星不能检测出病毒主程序,所以导致清除掉内存中的Trojan.Win32.Agent.vti以后,重启后病毒的主程序仍会释放那个dll,从而出现履杀不净的情况。
下面是关于这个病毒的简要分析和查杀方法:
Size: 21551 bytes
MD5: 17397C773EFF2D052BC3CBE66512DAB1
SHA1: B9B7383E6BE4111DF1889591F0BA0153FF1EE323
CRC32: 235B28FE
在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程(瑞星报的就是这个dll)
以上文件注册成一个服务,服务名为随机8位字母和数字组合的名称
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<NVDispDrv><C:\WINDOWS\kterzx.exe> []
==================================
服务
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]
<C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation>
==================================
正在运行的进程
[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
查杀方法:
1.首先下载sreng这个软件([url]http://download.kztechs.com/files/sreng2.zip[/url])
等待列表出来之后 查找那种不规则的随机8位字母(大写)和数字组合的服务
Windows Registry Editor Version 5.00
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中打开C盘(系统盘)
删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
还是在安全模式下
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\Kvsc3.dll
在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
开始-运行-输入regedit,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2,右键单击这个键,权限,把管理员的权限设置为拒绝。
如×××的U盘病毒免疫器:[url]http://update3.dswlab.com/antiautorun.zip[/url]
最安全的打开U盘方式如下
打开我的电脑 点击菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入U盘(同上面清除病毒时打开磁盘分区的方法)
转载于:https://blog.51cto.com/yuncx/41591
Trojan.Win32.Agent.vti的查杀举例相关推荐
- 遭遇Trojan.DL.Win32.Autorun.yuz,Trojan.Win32.Inject.gh,Trojan.Win32.Agent.zsq等
遭遇Trojan.DL.Win32.Autorun.yuz,Trojan.Win32.Inject.gh,Trojan.Win32.Agent.zsq等 endurer 原创 2007-10-23 第 ...
- 遭遇 kupqytu.dll/Trojan.Win32.Undef.fzq,kmwprnp.dll/Trojan.Win32.Agent.lmo 等1
遭遇 kupqytu.dll/Trojan.Win32.Undef.fzq,kmwprnp.dll/Trojan.Win32.Agent.lmo 等1 endurer 原创 2008-06-03 第1 ...
- Office宏病毒Virus.MSExcel.Agent.f的查杀方法
办法如下: 1.下载最新的360杀毒软件3.1.0.3073版安装: 2.打开360杀毒的右上角的设置按钮,将设置中"病毒扫描设置中需要扫描的文件类型,改为扫描所有文件":将&qu ...
- 遭遇Backdoor.Gpigeon.2007.ca,Trojan-PSW.Win32.QQRob.lg,Backdoor.Win32.Agent.bcn等3
endurer 原创 2007-06-22 第1版 由于病毒进程存在,而且会自动运行IE打开利用系统漏洞传播的网页,所以将IE设置为脱机工作. 然后先卸掉中文上网,雅虎助手. 用WinRAR删除C,D ...
- 查杀木马 QQ电脑管家 vs. 金山卫士
电脑里安装QQ电脑管家本来只是为了QQ等级加速,今天偶然试了一下这位管家的查杀木马功能.结果有点雷人: 01-QQ电脑管家4.5(2011-02-26)木马扫描结果 用FileInfo提取文件信息: ...
- foxmail 发不出邮件,被电脑管家云查杀引擎检测出带有病毒:Win32.Trojan.Agent.hryf
1,您可以到腾讯电脑管家官网下载一个电脑管家. 2,然后使用电脑管家--杀毒--指定位置查杀--选择到该软件目录,开始扫描,检测一下是否的确存在木马病毒,如果有的话就根据电脑管家提示进行处理即可.
- foxmail 发不出邮件,被电脑管家云查杀引擎检测出带有病毒:Win32.Trojan.Agent.hryf ...
1,您可以到腾讯电脑管家官网下载一个电脑管家. 2,然后使用电脑管家--杀毒--指定位置查杀--选择到该软件目录,开始扫描,检测一下是否的确存在木马病毒,如果有的话就根据电脑管家提示进行处理即可.
- virus.win32.parite.H病毒的查杀方法
virus.win32.parite.H病毒的查杀方法 昨天电脑中了virus.win32.parite.H病毒,搞了2个多小时最终搞定了.以下记录下我的解决方法. 第一步:下载Win32.Parit ...
- 手杀***病毒Trojan.Win32.Generic.11EBD5EC
晚上使用U盘,打开后发现异常情况,如图: 看到了吧,没错,基本可以确定是中病毒了.我尝试打开一个文件,安静了半月有余的瑞星报警: 这下把我乐坏了,很久没有遇到自己电脑中病毒了,既然今天你撞上来了,那我 ...
最新文章
- 云原生时代消息中间件的演进路线
- 面试题:四种Java线程池用法解析 !=!=未看
- Xamarin使XRPC实现接口/委托远程调用
- redis key设计技巧
- oracle 表删掉了_分区,Oracle 删除表分区
- bzoj 1052: [HAOI2007]覆盖问题(二分+贪心)
- typescript之prototype
- 用python计算今天是今年的第几天_Python计算指定日期是今年的第几天(三种方法)...
- Android Adapter中的getView缓存失效
- vscode 软件 git提交代码步骤(结合webstorm软件)
- 打印机显示正在未连接服务器,打印机状态未联机是怎么回事
- 《禅者的初心》读书笔记(2)
- 微生活完成3200万元A轮融资,助企业快速搭建移动互联CRM
- 迅捷无线路由器虚拟服务器,迅捷无线路由器怎么设置 迅捷无线路由器设置步骤【详解】...
- 汽车标定工具ETAS总线模块ES582.1详情介绍
- Python 动态加载并下载梨视频短视频
- 计算机网络的通信方式
- 11家共享单车可通过支付宝免押骑车,这种省钱的方法你get了吗?
- 1.1 NBU基本概念
- 中国剩余定理 扩展中国剩余定理 (模板)
热门文章
- 基于阿里云的短信接口的工具类及三个jar包下载地址
- 如何禁用自动创建复制拓扑知识一致性检查器(MSKB)
- 思维:分析框架化,模型化
- 笔记 学习51单片机串口中断
- 【C语言】数组的超详细解答,走过路过别错过
- java项目总结范文_第一次java项目个人总结
- 【minIO集群 配置负载均衡(二)】
- CentOS 傻瓜式安装 WPS
- 三星游戏java ball_JavaBallGame 使用 语言设计的弹球游戏,可以学习 编写小 的方法。 Program 238万源代码下载- www.pudn.com...
- TiDB 在爱奇艺的业务场景及实践