位置导航:网站首页<<<U盘行业知识<<<U盘病毒ah.exe 查杀
U盘病毒ah.exe 查杀
U盘病毒ah.exe 查杀
这是一个类似AV终结者的木马下载器,具有U盘传播,关闭杀毒软件和指定窗口并下载木马的功能
AV命名:Trojan.DL.Win32.Autorun.yuz(瑞星)
技术细节:
1、释放病毒副本:
%systemroot%\system32\dream.exe
%systemroot%\system32\sbl.inf
%systemroot%\system32\plmmsbl.dll
各个分区释放autorun.inf和ah.exe
%systemroot%\system32\sbl.inf与autorun.inf内容相同
2.添加注册表启动项目
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
下添加 {melove}{%systemroot%\system32\dream.exe}
和{dream}{%systemroot%\system32\dream.exe}的启动项目
3.启动一个svchost.exe 然后利用
3.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令 关闭Windows自带的防火墙
4.结束如下进程
360safe.exe
360tray.exe
avp.exe
5.检测窗口,关闭带有如下字样的窗口
防火墙
任务管理器
木马清道夫
木马克星
超级巡警
NOD32核心
微点
安全卫士
木马杀客
NOD32 内核
杀毒
江民
金山
6.调用CreateProcess打开进程%systemroot%\system32\svchost.exe,把%systemroot%\system32\plmmsbl.dll注入到svchost.exe中,并调用urlmon.dll实现下载功能
下载
到c盘并命名为a.exe(或者b.exe ,c.exe)
会释放一个winsys16_071012.dll(文件名不固定,病毒几乎每天都在更新)到%systemroot%\system32\下面
并利用rundll32.exe加载
此病毒也是一个类似AV终结者的下载者病毒
添加启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
下面添加
向瑞星的IE执行保护 发送允许的指令
向卡巴的安全警告 发送允许或者跳过的指令
并可关闭如下字样的窗口(包括但不限于)
卡巴斯基
瑞星
安全卫士
省略N多......
之后病毒又会接连下载几个木马程序
---------------------------------------------------------------------------
解决方法:
下载冰刃 有的下
sreng有的下
1.打开Icesword
进程栏中 结束dream.exe和rundll32.exe
单击 左下角文件按钮
删除如下文件
%systemroot%\system\AlxRes071012.exe
%systemroot%\system32\inf\scrsys071012.scr
%systemroot%\system32\inf\scrsys16_071012.dll
%systemroot%\system32\mywebhit.ini
%systemroot%\system32\wincheck071008.dll
%systemroot%\system32\wincheck071008.exe
%systemroot%\system32\winsys16_071012.dll
%systemroot%\system32\winsys32_071012.dll
%systemroot%\checkcj.ini
%systemroot%\mwinsys.ini
%systemroot%\system32\dream.exe
%systemroot%\system32\sbl.inf
%systemroot%\system32\plmmsbl.dll
以及每个分区下面的
ah.exe 和autorun.inf
2.
打开注册表,搜索“dream.exe”删除
再删除如下项目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
{mscheck}{rundll32.exe %systemroot%\system32\wincheck071008.dll mymain}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{Userinit}{rundll32.exe %systemroot%\system32\winsys16_071012.dll start}
U盘订购热线:0755-84524848 手机:13928466681 QQ: 384029020 24小时手机接听:139 2846 6681 电邮:samuel@torovo.com 或与在线客服人员联络。欲了解更多U盘信 息请进正益通U盘厂家的U盘定制网站:http://www.atftp.com 大客户联系: 13926502725 海外销售: 0086-755-33078349
点击更多U盘生产车间视频实录以上就是正益通U盘生产厂家事业部对于U盘病毒ah.exe 查杀话题的介绍,还有什么不了解的地方请直接咨询U盘工厂在线客服,她们会一一为您解答。