位置导航:网站首页<<<U盘行业知识<<<U盘病毒 sbl.exe的查杀
U盘病毒 sbl.exe的查杀
生成如下文件:
C:\WINDOWS\system32\1.inf
C:\WINDOWS\system32\chostbl.exe
C:\WINDOWS\system32\lovesbl.dll
在每个分区下面创建autorun.inf和sbl.exe
并不断检测chostbl.exe的属性是否为隐藏
注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe
达到开机启动的目的
启动类型:自动
显示名称:A GooD DownLoad CAHW
调用TerminateProcess函数关闭如下进程
360safe.exe
360tray.exe
runiep.exe
avp.exe
调用GetWindowsTextA函数 获得当前窗口标题
并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口
卡卡
江民
金山
任务管理器
木马清道夫
木马克星
超级巡警
NOD32核心
安全
安全卫士
木马杀客
NOD32
内核
OD
微点
调用FindWindowA函数查找如下窗口 并试图调用PostMessageA函数向其发送WM_CLOSE指令 关闭窗口
AVP.AlertDialog
AVP.Product_Notification
AVP.Product_Noti
调用cmd.exe 执行net stop sharedaccess命令 关闭Windows自带的防火墙服务
C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程
利用svchost.exe执行下载木马操作
下载(ip地址为辽宁大连网通)
到C:\Documents and Settings下面 并分别命名为servciesa.exe~servciesc.exe
下载间隔200ms
测试中(servciesc.exe)链接已失效
servciesa.exe为一感染下载者
下载但下载链接已失效
感染除以下文件夹下的exe文件
WINDOWS
WINNT
RECYCLE
System Volume Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings
被感染文件被加入593字节的内容 图表不变 感染方式还得请高手来指教...
servciesb.exe
注册服务WindowsRemote
启动类型:自动
显示名称:Windows Accounts Driver
也是一个木马下载者 但下载链接失效
病毒全部动作完毕以后,sreng日志如下:
服务
[A GooD DownLoad CAHW / AnHao_VIP_CAHW][Running/Auto Start]
[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]
==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
解决方法:
下载sreng
解压后运行srengps.exe
“启动项目”-“服务”- Win32服务应用程序”中点 ldquo;隐藏经认证的微软项目”,
重启计算机
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示
确定更改时,单击“是” 然后确定
删除如下文件
选中以下项目,点ldquo;删除服务”,再点“设置”,在弹出的框中点“否”:
A GooD DownLoad CAHW / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
C:\WINDOWS\system32\chostbl.exe
C:\sbl.exe
C:\autorun.inf
C:\WINDOWS\system32\servciesa.exe~servciesc.exe(如果有的话)在左边的资源管理器中单击其他盘(千万不要双击打开)
删除sbl.exe autorun.inf
U盘订购热线:0755-84524848 手机:13928466681 QQ: 384029020 24小时手机接听:139 2846 6681 电邮:samuel@torovo.com 或与在线客服人员联络。欲了解更多U盘信 息请进正益通U盘厂家的U盘定制网站:http://www.atftp.com 大客户联系: 13926502725 海外销售: 0086-755-33078349
点击更多U盘生产车间视频实录以上就是正益通U盘生产厂家事业部对于U盘病毒 sbl.exe的查杀话题的介绍,还有什么不了解的地方请直接咨询U盘工厂在线客服,她们会一一为您解答。