spec.fne病毒
最近一段时间上网,开机不久avast就报警说有病毒,仔细一看是什么和易语言库文件spec.fne有关的东西,于是没有深究就选择删除操作,但是每次avast都是删除失败。次数多了,于是查看一下进程表发现可疑进程
XP-63E83BEB.EXE,上网一搜索才知道果然有病毒。
这是一种广告木马病毒,也是文件图标病毒,同样具有Autorun属性。该病毒是用易语言编写,运行后会在系统目录system32下生成类似XP-63E83BEB.EXE的病毒副本,其中63E83BEB是随机的,并搜索移动设备,生成autorun文件,并根据移动存储设备根目录文件夹名生成同名EXE文件,并将原文件夹隐藏起来。另外病毒还会删除临时文件及Cookies,删除IE访问记录TypedURL。
感染以后的表现:
生成文件(以系统盘为C盘,winxp Sp3为例,U:/代表U盘盘符)
C:/WINDOWS/system32/XP-63E83BEB.EXE
C:/WINDOWS/system32/ul.dll
C:/WINDOWS/system32/og.dll
C:/WINDOWS/system32/com.run
C:/Documents and Settings/guoguo/「开始」菜单/程序/启动/ .lnk 指向C:/WINDOW
S/system32/XP-63E83BEB.EXE(注意空格,XP-63E83BEB.EXE是隐藏文件夹图标的名字)
以下是生成的易语言库文件:
C:/WINDOWS/system32/dp1.fne
C:/WINDOWS/system32/eAPI.fne
C:/WINDOWS/system32/internet.fne
C:/WINDOWS/system32/krnln.fnr
C:/WINDOWS/system32/RegEx.fnr
C:/WINDOWS/system32/shell.fne
C:/WINDOWS/system32/spec.fne
U:/autorun.inf
U:/Recycled.exe
在U盘根目录生成文件夹图标同名EXE文件,并将原文件夹隐藏起来。
添加注册表启动项:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
XP-63E83BEB(这里也是随机的,根据病毒名生成的不同而变)
查杀方法:
1。下载最新的usbcleaner,并运行其中的foldercure.exe (文件夹图标病毒扫描器)。
2手动查杀:结束进程
XP-63E83BEB.EXE(注意名称不固定)
依次删除
C:/WINDOWS/system32/ul.dll 2,404
C:/WINDOWS/system32/og.dll 692
C:/WINDOWS/system32/com.run 270,336
C:/Documents and Settings/guoguo/「开始」菜单/程序/启动/ .lnk 指向C:/WINDOW
S/system32/XP-8B618895.EXE(注意空格)
以下是易语言的库文件等:
C:/WINDOWS/system32/dp1.fne
C:/WINDOWS/system32/eAPI.fne
C:/WINDOWS/system32/internet.fne
C:/WINDOWS/system32/krnln.fnr
C:/WINDOWS/system32/RegEx.fnr
C:/WINDOWS/system32/shell.fne
C:/WINDOWS/system32/spec.fne
删除病毒启动项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
XP-8B618895(此处根据病毒名称而定)
手动删除U盘根目录的文件夹图标同名EXE文件即可!
PS:参考了网上类似资源,实际动手操作一边,证明是有效地,纠正的了相关的步骤!共享是王道!
spec.fne病毒相关推荐
- U盘中病毒,文件消失或不显示
最近非常流行的一个病毒,将电脑或者U盘里的文件全部用快捷方式替换,真实文件被隐藏起来,下面我们就具体了解下此种病毒吧,做好预防与杀毒工作. 一.病毒名称 病毒名称:移动盘同名文件夹病毒;文件夹EXE病 ...
- 文件夹同名EXE病毒
同名文件夹EXE病毒------木马名称:Worm.Win32.AutoRun.soq 当你把你的U盘插入到一台电脑后,突然发现原来的文件夹变成了它的EXE同名文件夹,相信很多人见到过这种情况,我已经 ...
- 移动盘同名文件夹EXE病毒
一.病毒名称 病毒名称:移动盘同名文件夹病毒:文件夹EXE病毒:同名文件夹EXE病毒 木马名称:Worm.Win32.AutoRun.soq 二.中毒特征 移动盘中毒后,移动盘中的所有文件夹被隐藏起来 ...
- u盘中毒自动生成exe的 处理办法
U盘中病毒啦,格式化后使用文件夹自动变成.exe(应用程序). 处理方法: 1,.下载360杀毒软件,可以检测到病毒并进行查杀,缺点:会误删自己exe文件(需手动勾除),清理后,u盘病毒仍然存在(瞎折 ...
- java支持库 易语言_易语言支持库|易语言支持库更新集合包下载233个 - 欧普软件下载...
易语言支持库更新集合包是目前比较齐全的集合包,包含233个,有EXCEL2000支持库2.0.Java支持库2.0.PowerPoint2000支持库2.0.DirectX2D支持库2.0.位图操作支 ...
- 一款专门针对高质量女性的易语言钓鱼样本简单分析
本文首发于合天智汇:网络靶场_在线网络安全学习平台|合天智汇 由于一直没怎么分析过易语言的样本,想学习一下易语言的样本分析过程,正好最近碰见了一个易语言编写的样本,是一个专门针对人类高质量女性进行钓鱼 ...
- 在易语言代码中嵌入汇编/机器码
在易语言代码中嵌入汇编/机器码 --"置入代码"的使用方法简介 作者:liigo 原文链接:http://blog.csdn.net/liig ...
- 公司某应用服务器被挂挖矿病毒处理流程
公司某应用服务器被挂挖矿病毒处理流程 2021年7月20日 本来正在高高兴兴做项目,突然接到一个老客户的电话,跟我说他们的服务器被人植入了挖矿病毒,cpu爆满. 好家伙,客户上来给我发了个病毒扫描文件 ...
- 关于Recycle.exe病毒的分析
[名称]:recycle.exe病毒 [传播方式]:U盘 [属性]:木马 [测试环境]:windows xp sp3 .冰刃.Process MonitorV2.02H.File Monlter.co ...
- 一枚Android 短信小偷 病毒的分析
一.样本简介 样本来自于吾爱破解论坛链接地址为http://www.52pojie.cn/thread-410238-1-1.html,样本不是很复杂有空就分析了一下.Android病毒样本还是很有意 ...
最新文章
- 视觉SLAM前端特征检测与跟踪的思考
- 20165235实验四 Android程序设计
- 微信小程序一些常见的坑
- Spring 基于设值函数的依赖注入
- requestPermissions读写手机存储权限_泛圈云盘可为企业建立高效安全的云办公在线协同文档存储?...
- C#调用存储过程详解
- 报错,o.h.engine.jdbc.spi.SqlExceptionHelper : Unknown column ‘org0_.create_by‘ in ‘field list‘
- keil5调试如何选择晶振_有源晶振的负载电容重要吗?
- USB:收录比较好的USB协议讲解
- H3C WA2220E-AG 设置本地MAC+PSK认证:mac-and-psk
- java生成16位唯一性的订单号
- mysql jdbc8.0驱动包下载_JDBC驱动jar包|JDBC驱动(mysql connector java)下载v8.0.11安装包 - 欧普软件下载...
- 软考--软件设计师--下午题数据库设计
- 计算机内存分为几代,电脑内存怎么看大小(内存条怎么看几代型号)
- 今天是冰桶算法大揭秘!!
- 利率交換 IRS 估值 (1) 前言
- 现代化SharePoint经典网站
- WAITED TOO LONG FOR A ROW CACHE ENQUEUE LOCK!
- javascript如何获取html中的控件,Javascript-dom总结(获取页面控件)
- ps入门第11天_ps渐变映射 案例:战争之殇