Win32.Troj.Autorun.bz.557056-Storm

　　杀毒软件报病毒名称：Win32.Troj.Autorun.bz.557056，由U盘传染，杀毒软件无法运行，除了要清除各盘下可能存在的autorun.inf及其指向的病毒文件，另外要做的是删除如下项目：

1、注册表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{C3D16072-2E1B-450B-B843-50EADDC8EB63}><C:\WINDOWS\system32\bnmhggo0.dll> [](无签名、无厂商信息，随机文件名，删除注册表项后，文件也要删除)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
<IFEO[360tray.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AntiArp.exe]
<IFEO[AntiArp.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe]
<IFEO[kavstart.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe]
<IFEO[kissvc.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp]
<IFEO[KVMonXP.kxp]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVsrvxp.exe]
<IFEO[KVsrvxp.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.exe]
<IFEO[kwatch.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe]
<IFEO[QQDoctor.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ravmon.exe]
<IFEO[Ravmon.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMond.exe]
<IFEO[RavMond.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe]
<IFEO[RavTask.exe]><ntsd -d> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe]
<IFEO[safeboxtray.exe]><ntsd -d> [N/A]

用映像劫持“劫持”杀毒软件和安全工具

2、驱动部分：

[efkrgto / efkrgto][Stopped/Boot Start]
<\SystemRoot\system32\drivers\efkrgto.sys><N/A>(无签名、无厂商信息、随机文件名，用SREng删除驱动：启动项目-服务-驱动程序-删除，在点完删除设置后再点否才是删除，然后记得删除文件)

转载时请注明：转载自 Storm_Center 　原文地址：http://www.stormcn.cn/post/92.html
——凡文章内未标注转载来源者均为原创文章　【恭候您的意见】　谢谢！——

导航

2008-12-26 15:24:42

Win32.Troj.Autorun.bz.557056

Tags: U盘 映像劫持 病毒

作者:流风33 | 分类:病毒救援 | 评论:0 | 浏览:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场. [关于我] [网站地图] [联系邮箱]. 闽ICP备09000343号
Copyright 2008-2012 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. [返回顶部]

导航