岁月联盟 - 技术社区 - BBS.SYUE.COM » [ Antivirus ] 反病毒 » “AV”病毒(Win32.Troj.Autorun.ur.90112)手工清除方案

查看完整版本: “AV”病毒(Win32.Troj.Autorun.ur.90112)手工清除方案

taong 2007-12-5 15:48

“AV”病毒(Win32.Troj.Autorun.ur.90112)手工清除方案

带你手动处理一个黑吃黑的“AV”病毒，毒霸检测为：Win32.Troj.Autorun.ur.90112

中该病毒后运行清理专家无反应，运行SReng的会有如下报错信息：

[attach]6062[/attach]

[font=宋体][color=#0000ff]关于这个病毒的简单分析：[size=10.5pt][/size]
[/color][color=darkgreen][size=10.5pt]释放并利用%systemroot%\system32\snowfall.exe进行劫持；[/size][/color][/font][size=10.5pt][/size]
[color=darkgreen][size=10.5pt][font=宋体]在各个盘符留下主文件snow.exe和Autorun.inf；[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]劫持大量杀毒软件以及包括金山清理专家在内的安全辅助工具。[/font][/size][/color]
[color=darkgreen][font=宋体][/font][size=10.5pt][/size]
[/color][color=purple][size=5][size=10.5pt][font=宋体]比较有趣的一点是该病毒会劫持同样是利用autorun传播并劫持大量杀软的“恐怖鸡感染号”的一个早期主文件xp.exe，以便达到自己能够单独在用户主机上面逞凶的目的。[/font][/size][size=10.5pt][/size]
[size=10.5pt]AV[font=宋体]类病毒黑吃黑尚属首例，该病毒劫持其他的流行病毒和系统文件包括:auto.exe、autorun.exe、sos.exe、UPO.exe、taskmgr.exe（任务管理器）释放并下载大量恶意软件。[/font][/size][/size][/color]
[font=宋体][/font]

[size=10.5pt][/size]
[color=red][size=10.5pt][font=宋体]关于这个病毒的处理在正常模式是无法进行的，因为进程中存在snowfall.exe会监视杀软以及清理专家窗口。[/font][/size][size=10.5pt][/size]
[/color][size=10.5pt][/size]
[color=green][size=10.5pt][font=宋体]可以按照如下步骤处理：[/font][/size][size=10.5pt][/size]
[size=10.5pt]1.[font=宋体]重启后按F8进入安全模式[/font][/size][size=10.5pt][/size]
[size=10.5pt]2.[font=宋体]找到金山系统清理专家的目录将清理专家主程序kasmain.exe改名。如图所示[/font][/size][/color][color=green][size=10.5pt][font=宋体]：[/font][/size][/color]
[font=宋体][color=#008000][/color][/font]
[attach]6063[/attach]

[color=green][size=10.5pt][font=宋体]注：如果你进入安全模式就迫不及待地运行清理专家的话，那么已经可以再度重启了。因为病毒劫持清理专家到%systemroot%\system32\snowfall.exe直接运行清理专家的话会启动此进程。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]3.[/size][size=10.5pt][font=宋体]运行清理专家的文件粉碎器添加病毒文件进行批量粉碎[/font][/size][/color]
[font=宋体][color=#008000][/color][/font]
[attach]6064[/attach]

[color=#006400]4.[size=10.5pt][font=宋体]运行清理专家的恶意软件扫描，全选清理恶意软件已经autorun.inf文件[/font][/size][/color]
[font=宋体][color=#006400][/color][/font]
[attach]6065[/attach]

[color=#008000]5.[font=宋体]重启后关闭系统还原功能，升级毒霸到最新后进行全面杀毒清理其他病毒木马[/font][size=10.5pt][/size]
[size=10.5pt]6.[font=宋体]修复全部映像劫持以及修正文件夹选项[/font][/size][/color]

Sk. 2007-12-7 18:40

好帖好帖``

页: [1]

查看完整版本: “AV”病毒(Win32.Troj.Autorun.ur.90112)手工清除方案