U盘病毒vistaAA.exe的手动查杀方法


    Modified: 2008年5月8日, 18:52:32
    MD5: 7009AC302C6D2C6AADEDE0D490D5D843
    SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E
    CRC32: DCE5AE5A

    病毒运行后:
    1.释放一个sbl.sys到%system32%\drivers下面,并拷贝一份覆盖beep.sys,之后加载该驱动,恢复SSDT钩子,导致某些杀毒软件的主动防御功能失效。

    2.结束很多杀毒软件和安全工具的进程
    诸如:

    Quote:
    360rpt.exe
    360Safe.exe
    360tray.exe
    avp.com
    KASMain.exe
    KASTask.exe
    KAV32.exe
    KAVDX.exe
    KAVPFW.exe
    Rav.exe
    RavMon.exe
    RavMonD.exe


    3.复制自身到\config\systemprofile\下和%system32%下面

    4.启动一个IE进程,连接网络
    到http://***.kjxs.com/tj.asp进行感染统计

    下载http://***.kjxs.com/liehuo.rar到%system32%\Contxt.dat 该文件应该是需要下载的木马列表
    但链接已经失效

    5.映像劫持很多杀毒软件和安全工具和其他一些流行病毒:

    Quote:
    360rpt.exe
    360Safe.exe
    360tray.exe
    45.exe
    5784dfgi.exe
    adam.exe
    AgentSvr.exe
    appdllman.exe
    AppSvc32.exe
    auto.exe
    AutoRun.exe
    autoruns.exe
    avgrssvc.exe
    AvMonitor.exe
    avp.com
    avp.exe
    CCenter.exe
    ccSvcHst.exe
    cross.exe
    dfcxfg.exe
    Discovery.exe
    FileDsty.exe
    FTCleanerShell.exe
    FuckAAAAAAA.exe
    guangd.exe
    HijackThis.exe
    IceSword.exe
    iparmo.exe
    Iparmor.exe
    isPwdSvc.exe
    kabaload.exe
    KaScrScn.SCR
    KASMain.exe
    KASTask.exe
    KAV32.exe
    KAVDX.exe
    KAVPFW.exe
    KAVSetup.exe
    KAVStart.exe
    kernelwind32.exe
    KISLnchr.exe
    KMailMon.exe
    KMFilter.exe
    KPFW32.exe
    KPFW32X.exe
    KPFWSvc.exe
    KRegEx.exe
    KRepair.COM
    KsLoader.exe
    KVCenter.kxp
    KvDetect.exe
    KvfwMcl.exe
    KVMonXP.kxp
    KVMonXP_1.kxp
    kvol.exe
    kvolself.exe
    KvReport.kxp
    KVSrvXP.exe
    KVStub.kxp
    kvupload.exe
    kvwsc.exe
    KvXP.kxp
    KWatch.exe
    KWatch9x.exe
    KWatchX.exe
    loaddll.exe
    logogo.exe
    MagicSet.exe
    mcconsol.exe
    mmqczj.exe
    mmsk.exe
    NAVSetup.exe
    nod32krn.exe
    nod32kui.exe
    pagefile.exe
    pagefile.pif
    PFW.exe
    PFWLiveUpdate.exe
    QHSET.exe
    Ras.exe
    Rav.exe
    RavMon.exe
    RavMonD.exe
    RavStub.exe
    RavTask.exe
    RegClean.exe
    regedit.Exe
    regedit32.Exe
    rfwcfg.exe
    RfwMain.exe
    rfwProxy.exe
    rfwsrv.exe
    RsAgent.exe
    Rsaupd.exe
    runiep.exe
    safelive.exe
    scan32.exe
    SDGames.exe
    servet.exe
    shcfg32.exe
    SmartUp.exe
    sos.exe
    SREng.exe
    SSDtDiscovery.exe
    symlcsvc.exe
    SysSafe.exe
    taskmgr.exe
    TNT.Exe
    TrojanDetector.exe
    Trojanwall.exe
    TrojDie.kxp
    TxoMoU.Exe
    U.exe
    UFO.exe
    UIHost.exe
    UmxAgent.exe
    UmxAttachment.exe
    UmxCfg.exe
    UmxFwHlp.exe
    UmxPol.exe
    UpLive.EXE
    USBoot.exe
    WoptiClean.exe
    Wsyscheck.exe
    XP.exe
    xxxdgfdfg.exe
    zxsweep.exe
    ~.exe


    6.创建注册表启动项目
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <LoveHebeAA><C:\WINDOWS\system32\vistaAA.exe>
    达到开机启动自身的目的

    7.创建一个计时器每1800秒启动一次病毒本身

    清除方法:

    1.重启计算机 进入
    安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)
    打开sreng:
    启动项目  注册表 删除如下项目 

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <LoveHebeAA><C:\WINDOWS\system32\vistaAA.exe>

    删除所有红色的IFEO项目

    2.删除如下文件C:\WINDOWS\system32\vistaAA.exe

    3.使用杀毒软件清除病毒下载的其他木马

发表评论

发表评论