病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 清除jabzvirey.dll、5CF9276E.EXE病毒Adobe PDF 0day漏洞修复 »

又一例使用文件夹图标的病毒

  前文“recycle.exe”、“ .exe”、“  .exe”、“   .exe”病毒中病毒文件使用文件夹图标来诱使文件双击运行,今天又在同事的电脑上看到一例,与前文类似,也是在system32下生成4个文件夹(隐藏属性),文件夹名称是5位字母或数字组合,当然与前文不一样,但其中一个中也是装着病毒释放的E语言库文件(另一个装E语言库文件的地方上临时文件夹temp中的E_N4文件夹),另一个则装着放到启动项中的文件(注册表与开始程序菜单的启动文件夹),用于防止删除病毒后还能在下次启动后再次生成(确实如此,该机上的杀毒软件也删除隔离了几个病毒文件,但病毒仍然存在,这对于杀毒不彻底的杀毒软件来说,将是一个反复的过程。当然与前文也有不同,首先并没有recycle.exe与那几个带空格的exe文件,而且在生成的文件夹中出现了其它的可执行文件,一个exe,一个dll,它们有自己的图标,而不是文件夹样子的,看来这次没有杀毒软件能预先阻止它们的出现了。同样我没有找到autorun.inf,可能是杀毒软件对它已经看得很紧了。

  清除文件比较简单,从任务管理器中终止两三个随机数字字母的进程,然后那4个文件夹就可以直接删除了,同时清理临时文件夹并删除注册表启动项与启动文件夹。而最后我用windows清理助手扫描时,又发现两个可疑的对象C:\WINNT\FONTS\AVWGHIN.DLL和C:\WINNT\FONTS\AVZXOIN.DLL,不过我竟然在字体文件夹中没有发现(也许需要用第三方工具打开才能找到,毕竟它们不是字体,可能不会被识别)。下面是一些病毒文件(因为是2000的系统,所以windows文件夹是WINNT,同时需要清理的病毒文件不限于以下这些):

c:\documents and settings\administrator\「开始」菜单\程序\启动\def68d.lnk(即c:\winnt\system32\4e39c3\def68d.exe)
c:\winnt\system32\4e39c3\def68d.exe
c:\winnt\system32\681558\an6153b.exe
c:\winnt\system32\681558\dp1.fne
c:\winnt\system32\681558\eapi.fne
c:\winnt\system32\681558\krnln.fnr
c:\docume~1\admini~1\locals~1\temp\e_n4\dp1.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\eapi.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\htmlview.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\internet.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\krnln.fnr
c:\docume~1\admini~1\locals~1\temp\e_n4\shell.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\spec.fne(c:\docume~1\admini~1\locals~1\temp\即c:\documents and settings\administrator\local settings\temp)

注册表中启动项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DEF68D><C:\WINNT\system32\4E39C3\DEF68D.EXE>


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/283.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号