晚上使用U盘,打开后发现异常情况,如图:

看到了吧,没错,基本可以确定是中病毒了。我尝试打开一个文件,安静了半月有余的瑞星报警:

这下把我乐坏了,很久没有遇到自己电脑中病毒了,既然今天你撞上来了,那我就看看吧。
百度了下“Trojan.Win32.Generic.11EBD5EC”,看到深受其害的人不少。好了,开始旅程!
取消隐藏文件的属性,看,

看起来正常的文件并不是被感染,只是被隐藏了,我们看到.exe应该是个拷贝或者只是个“快捷方式”。接下来的分析证明了我的猜测。
EXE文件的属性:

看到了吧,只有1.15M,似乎没有这么小的电影吧?
正常文件的属性:

这下对了,看了那个.exe程序或许只是“快捷方式”。
OK,根据杀毒软件的提示,定位的病毒体:

文件信息:
名称:jwgkvsq.vmx
MD5: BE4097D198946861C9C34C8D280D6056

分析过程:
先使用IDA静态的分析下,结果IDA报错,大致意思是文件被加壳。???完了,如果真是这样,脱壳实在不是我的强项。打开PEID,扫描后得到如下信息:

果然,使用ACProtect加壳,百度了下,似乎是个强壳(脱壳实在不是我的强项)到看雪论坛求助高人指点,略过不提。

接下来,运行下打开下病毒文件,看她会做些什么。既然是分析她,肯定少不了对文件行为的监控,我依赖的是SSM。使用UE打开文件jwgkvsq.vmx,瑞星马上报警:

没等我点允许运行,在我思索的瞬间,瑞星尽职尽责的拒绝了。关闭瑞星!再次打开,这下轮到SSM上场,几番“允许”后,出现这样一个信息:

注意看,当我们打开感染了病毒的文件夹,在后台是会运行8E45B9.EXE这个文件的。当然,如果你没有使用文件监控工具,应该是看不到的。不过想明白为什么这个病毒文件的隐藏手法这么“粗糙”,打开任务管理器居然可以清楚的看到进程8E45B9.EXE,要知道隐藏进程的技术文章比草原上的草都多啊~
这里有个细节需要注意,8E45B9.EXE似乎是随机的名字,因为我在另一台电脑上打开染毒文件夹时运行的文件是23AF87.exe。
当然,病毒肯定也进行了注册表的操作,只是我没有跟进。似乎病毒的行为也就这些了,接下来该清除她了。

清除步骤:
1.注册表搜索。
备 份好注册表,以“jwgkvsq、8E45B9.exe”为关键字进行查找(8E45B9.EXE是我本机生成的名字),找到后删除。强调一下,注册表操 作很危险,一定要事前备份。(在我搜索8E45B9.exe时,发现注册表中根本没有这个文件,或许这只是jwgkvsq.vmx运行时,出现在任务管理 中的随机名字吧,结束进程应该就删除了自身)
2.删除病毒文件。
当然还是以“jwgkvsq、8E45B9.exe”为关键字,搜索全盘,找到后删除。取消被病毒隐藏的文件夹的“隐藏”属性。
3.清空临时文件夹。
4.升级杀毒软件病毒库,全盘扫描,确认没有病毒。

总的来说,手杀的过程是我遇到的比较容易的一个病毒,这里没什么技术含量,只是提供一种思路。

################## 补充内容 ########################
昨天忽略了一件事情---取消启动项。今早开机发现任务管理器出现了8E45B9.EXE,打开启动项:

之后再SYSTEM32目录找到四个恶意程序:

说明一下,那个8E45B9.EXE文件也是一个文件夹图标的程序,我会在稍后尽快的补充上对这四个恶意文件的分析。
################## 补充内容 ########################

转载于:https://blog.51cto.com/virussafe/283586

手杀***病毒Trojan.Win32.Generic.11EBD5EC相关推荐

  1. 关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案

    最近写了一个桌面程序,里面用了些读取系统环境变量.提取文件图标.启动外部程序之类的操作. 然后----卡巴斯基就把它识别成了HEUR:Trojan.Win32.Generic---- 咱遵纪守法好程序 ...

  2. 如何杀除Trojan.win32.Thsys病毒

    本人这几天深受其害,但是最后还是终于摆脱了这个可恶的病毒的骚扰. 这个病毒像牛皮糖一样,用360/360急救箱/木马克星之类的都不能彻底杀除,因为它的传染能力较强. 其实所有的蠕虫病毒都有个共性,就是 ...

  3. Trojan.Win32.Agent.vti的查杀举例

    作者:清新阳光                                          ( [url]http://hi.baidu.com/newcenturysun[/url] )  这 ...

  4. Trojan/Win32.Small.dyq病毒的解决方法

    转自:http://www.antiyfx.com/a/wiki/bingdufenxi/2009/1218/746.html 病毒标签: 病毒描述: 行为分析-本地行为: 行为分析-网络行为: 清除 ...

  5. 遭遇PSW Win32 WoWar Trojan Win32 MnLess Trojan IMMSG Win32 TBM

    分享一下我老师大神的人工智能教程.零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow 遭遇PSW.Win ...

  6. Trojan/Win32.TDSS.eyj[Rootkit]分析

    病毒标签: 病毒名称: Trojan/Win32.TDSS.eyj[Rootkit] 病毒类型: 后门 文件 MD5: 45433E3C1489F1F64798BC82BFA21864 公开范围: 完 ...

  7. 学习机?原来是中了文件夹变exe文件的病毒Trojan-Dropper.Win32.Flystud.yo

    学习机?原来是中了文件夹变exe文件的病毒Trojan-Dropper.Win32.Flystud.yo endurer 原创 2009-08-23 第1版 一位朋友的学习机最近了,把学习机接到电脑上 ...

  8. 遇到让文件夹变文件的 Trojan.Win32.ECode.ee / Trojan-Dropper.Win32.Flystud.ko

    遇到让文件夹变文件的 Trojan.Win32.ECode.ee / Trojan-Dropper.Win32.Flystud.ko endurer 原创 2009-04-29 第1版 最近一位朋友的 ...

  9. 某释放驱动的样本分析及手杀报告

    此为样本文件下载链接:http://download.csdn.net/detail/cs08211317dn/3982364,压缩包解压缩密码为:virus. 今天花了1个多小时分析了一款名为123 ...

最新文章

  1. 自然语言处理NLP之语义相似度、语言模型、doc2vec
  2. msc货物跟踪查询_图川铅循货物运输安全管理系统
  3. UVa 201 Square
  4. 教你如何挑选深度学习GPU
  5. (转载)Ubuntu如何进入图形界面
  6. 宝塔面板 php关闭拓展,宝塔Linux面板中PHP如何安装扩展及禁用函数?
  7. java1.7环境_java1.7环境变量设置
  8. mathematica完爆matlab,Mathematica和Matlab相比的计算效率问题
  9. 水系图一般在哪里找得到_腾远带你了解:虹吸排水系统原理、组成及应用优势...
  10. php管理智能dns,智能DNS解析与用户定位调度技术
  11. Spring BackOff退避算法(一)
  12. 基于Redis的限流器的实现
  13. jquery-3.5.1.js net::ERR_ABORTED 404
  14. 分析一下 原型模式的 UML 类图 。 复制对象, 深浅拷贝 月经贴 ,请回避
  15. MSP432 P401R 单片机 矩阵键盘 贪吃蛇 OLED 代码 程序
  16. 蜘蛛池刷百度指数和第三方贴
  17. VB6里判断是否64位系统
  18. 集创赛备赛:Robei八角板7020简介
  19. 丹东市计算机考试,2019年3月辽宁省丹东市计算机等级考试注意事项
  20. 计算机病毒与木马新闻,计算机病毒中心:近期恶意木马程序猖獗需谨防

热门文章

  1. java 流换行符_【求大神】如何读取含换行符的缓冲流文件
  2. 这些焊接缺陷,你遇到过多少?
  3. 记录低频的混沌电压波形-双晶体管混沌信号
  4. 实验室中的机械臂-资料汇总
  5. 已解决Cause: java.sql.SQLException: Incorrect string value: ‘\\xF0\\x9F\\x8C\\xB8 \\xE5...‘报错
  6. c语言联合体作用,C语言 联合体(Unions)
  7. linux系统vim程序编译器,Linux学习:vim程序编辑器
  8. java接口深入理解,深入理解Java接口
  9. php接收flutter,来自Flutter中的PHP的API流(非Firebase)
  10. 嵌入式linux hdmi分辨率,【Firefly3399Pro】rk3399pro在Framebuffer状态命令行模式中强制HDMI输出固定分辨率...