Worm.Win32.AutoRun.amf是什么病毒?
帮同学下文件,她软盘里有这东东,用卡巴杀掉了.这是什么病毒?百度上搜不到?删掉安全了没...呃,我的电脑没有那样的症状....是我同学盘里有病毒,但被卡巴清了,想问这是什...
帮同学下文件,她软盘里有这东东,用卡巴杀掉了.这是什么病毒?百度上搜不到?删掉安全了没...
呃,我的电脑没有那样的症状....是我同学盘里有病毒,但被卡巴清了,想问这是什么病毒,什么危害? 展开
呃,我的电脑没有那样的症状....是我同学盘里有病毒,但被卡巴清了,想问这是什么病毒,什么危害? 展开
3个回答
展开全部
Worm.Win32.AutoRun.amf病毒是没有
但找到两个相类似的
1、Worm.Win32.AutoRun.ag 查杀
http://www.shadukey.com/html/shoudongshadu/20080505/474.html
病毒标签:
病毒名称: Worm..ag
中文名称: AutoRun蠕虫
病毒类型: 蠕虫类
文件 MD5: E3C42777C667D65D710FC9409011BD9A
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前26,220 字节,脱壳后151,552 字节
感染系统: Windows9x以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,连接网络下载病毒体到本机运行,添加
注册表启动项、修改映象劫持项与LSP项以导病毒体。删除注册表安全模式相关项,以阻止
用户访问安全模式。注入病毒.dll文件与.sys文件到多个进程,以获取游戏账号信息。病
毒通过在移动设备中衍生副本及Autorun.inf文件传播自身。
--------------------------------------------------------------------
行为分析:
本地行为:
1、文件运行后会衍生副本:
%Program Files%\meex.exe 26,220 字节
%system32%\avwlcst.exe 14,970 字节
%system32%\avzxdst.exe 15,045 字节
%system32%\kaqhfaz.exe 13,988 字节
%system32%\kvdxdis.exe 14,387 字节
%system32%\kvdxscis.exe 13,919 字节
%system32%\kvmxeis.exe 14,322 字节
%system32%\rarjbtl.exe 14,474 字节
%system32%\rsmyesp.exe 15,040 字节
%system32%\addrgjhelp.dll 8,714 字节
%system32%\addrwdhelp.dll 8,265 字节
%system32%\addrz_thelp.dll 9,362 字节
%system32%\avwlcin.dll 57 字节
%system32%\avzxain.dll 57 字节
%system32%\kaqhfcs.dll 55 字节
%system32%\kvdxacf.dll 48 字节
%system32%\kvdxsacf.dll 50 字节
%system32%\kvmxecf.dll 53 字节
%system32%\qdshm.dll 9,264 字节
%system32%\rarjani.dll 54 字节
%system32%\rsmyafg.dll 56 字节
%Program Files%\Common Files\System\udchniv.exe 26,220 字节
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe 26,220 字节
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.inf
%Program Files%\ Internet Explorer\PLUGINS\WinSys8s.Sys 45,199 字节
%Program Files%\ Internet Explorer\PLUGINS\SysWin7s.jmp 32,399 字节
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: hpbnijr
字符串:"%Program Files%\Common Files\System\udchniv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: pefbutr
字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{08E909A4-B236-48DD-8BCC-90A604B93E68}
键值: ""
字符串:"hook tl"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{2598FF45-DA60-F48A-BC43-10AC47853D52}
键值: ""
字符串: "rarjbpi.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3960356A-458E-DE24-BD50-268F589A56A3}
键值: ""
字符串: "avwlcmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3D561258-45F3-A451-F908-A258458226D3}
键值: ""
字符串: "kvdxscma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4859245F-345D-BC13-AC4F-145D47DA34F4}
键值: ""
字符串: "avzxdmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4C87A354-ABC3-DEDE-FF33-3213FD7447C4}
键值: ""
字符串: "kvdxdma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5D47B341-43DF-4563-753F-345FFA3157D5}
键值: ""
字符串: "kvmxema.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5E32FA58-3453-FA2D-BC49-F340348ACCE5}
键值: ""
字符串: "rsmyepm.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{67D81718-1314-5200-2597-587901018076}
键值: ""
字符串: "kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-B236-48DD-8BCC-90A604B93E68}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\tldoor0.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-48DD-8BCC-B236-90A604B93E68}\
键值: daExeModuleName
字符串: "C:\DOCUME~1当前用户名\LOCALS~1\Temp\13222.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{67D81718-1314-5200-2597-587901018076}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{774D414D-9457-4707-9730-662C4F8D2856}\InProcServer32\@
键值: @
字符串: "%Program Files%\Internet Explorer\PLUGINS\WinSys8s.Sys"
3、新增注册表下列映象劫持项
5、删除的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
网络行为:
连接网络下载病毒体:
www.54***.cn/xzz/0603.exe(220.166.64.***)
74.54***.cn /yx/11.exe(220.166.64.***)
74.54***.cn /yx/13.exe (220.166.64.***)
www.54***.cn/xzz/0603.exe (220.166.64.***)
--------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天免费安全工具ATool多选下列进程,结束:
udchniv.exe
atthdop.exe
avwlcst.exe
kvdxscis.exe
kaqhfaz.exe
kvdxdis.exe
rsmyesp.exe
rarjbtl.exe
kvmxeis.exe
(2打开注册表编辑器,修改下列册表键值为旧值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\Windows\
AppInit_DLLs
New: 字符串: "rarjbpi.dll"
Old: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\Type
New: 字符串: "checkbox2"
Old: 字符串: "checkbox"
(3) 使用ATool >>工具>>搜索DLL功能, 搜索qdshm.dll,
卸载所有含有此病毒dll的进程。
(4) 打开“文件夹选项”,打开隐藏文件选项如下列状态之后,
删除病毒文件或使用ATool直接删除病毒文件:
(5)删除病毒文件:
%Program Files%\meex.exe
%Program Files%\Common Files\System\udchniv.exe
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.in
%system32%\avwlcst.exe
%system32%\avzxdst.exe
%system32%\kaqhfaz.exe
%system32%\kvdxdis.exe
%system32%\kvdxscis.exe
%system32%\kvmxeis.exe
%system32%\rarjbtl.exe
%system32%\rsmyesp.exe
%system32%\addrgjhelp.dll
%system32%\addrwdhelp.dll
%system32%\addrz_thelp.dll
%system32%\avwlcin.dll
%system32%\avzxain.dll
%system32%\kaqhfcs.dll
%system32%\kvdxacf.dll
%system32%\kvdxsacf.dll
%system32%\kvmxecf.dll
%system32%\qdshm.dll
%system32%\rarjani.dll
%system32%\rsmyafg.dll
(6)删除病毒添加注册表项,依据行为分析2、3项。
(7)同步骤3卸载WinSys8s.Sys,接着删除%Program Files%
\ Internet Explorer\PLUGINS\WinSys8s.Sys
(8)复制下列文本,保存为.reg格式,双击导入,
以修复安全模式注册表键:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
2、Worm.Win32.AutoRun.dg
太长了,不转载了,详情请查看
http://www.shadukey.com/html/shoudongshadu/20080505/484.html
但找到两个相类似的
1、Worm.Win32.AutoRun.ag 查杀
http://www.shadukey.com/html/shoudongshadu/20080505/474.html
病毒标签:
病毒名称: Worm..ag
中文名称: AutoRun蠕虫
病毒类型: 蠕虫类
文件 MD5: E3C42777C667D65D710FC9409011BD9A
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前26,220 字节,脱壳后151,552 字节
感染系统: Windows9x以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,连接网络下载病毒体到本机运行,添加
注册表启动项、修改映象劫持项与LSP项以导病毒体。删除注册表安全模式相关项,以阻止
用户访问安全模式。注入病毒.dll文件与.sys文件到多个进程,以获取游戏账号信息。病
毒通过在移动设备中衍生副本及Autorun.inf文件传播自身。
--------------------------------------------------------------------
行为分析:
本地行为:
1、文件运行后会衍生副本:
%Program Files%\meex.exe 26,220 字节
%system32%\avwlcst.exe 14,970 字节
%system32%\avzxdst.exe 15,045 字节
%system32%\kaqhfaz.exe 13,988 字节
%system32%\kvdxdis.exe 14,387 字节
%system32%\kvdxscis.exe 13,919 字节
%system32%\kvmxeis.exe 14,322 字节
%system32%\rarjbtl.exe 14,474 字节
%system32%\rsmyesp.exe 15,040 字节
%system32%\addrgjhelp.dll 8,714 字节
%system32%\addrwdhelp.dll 8,265 字节
%system32%\addrz_thelp.dll 9,362 字节
%system32%\avwlcin.dll 57 字节
%system32%\avzxain.dll 57 字节
%system32%\kaqhfcs.dll 55 字节
%system32%\kvdxacf.dll 48 字节
%system32%\kvdxsacf.dll 50 字节
%system32%\kvmxecf.dll 53 字节
%system32%\qdshm.dll 9,264 字节
%system32%\rarjani.dll 54 字节
%system32%\rsmyafg.dll 56 字节
%Program Files%\Common Files\System\udchniv.exe 26,220 字节
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe 26,220 字节
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.inf
%Program Files%\ Internet Explorer\PLUGINS\WinSys8s.Sys 45,199 字节
%Program Files%\ Internet Explorer\PLUGINS\SysWin7s.jmp 32,399 字节
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: hpbnijr
字符串:"%Program Files%\Common Files\System\udchniv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: pefbutr
字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{08E909A4-B236-48DD-8BCC-90A604B93E68}
键值: ""
字符串:"hook tl"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{2598FF45-DA60-F48A-BC43-10AC47853D52}
键值: ""
字符串: "rarjbpi.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3960356A-458E-DE24-BD50-268F589A56A3}
键值: ""
字符串: "avwlcmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3D561258-45F3-A451-F908-A258458226D3}
键值: ""
字符串: "kvdxscma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4859245F-345D-BC13-AC4F-145D47DA34F4}
键值: ""
字符串: "avzxdmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4C87A354-ABC3-DEDE-FF33-3213FD7447C4}
键值: ""
字符串: "kvdxdma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5D47B341-43DF-4563-753F-345FFA3157D5}
键值: ""
字符串: "kvmxema.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5E32FA58-3453-FA2D-BC49-F340348ACCE5}
键值: ""
字符串: "rsmyepm.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{67D81718-1314-5200-2597-587901018076}
键值: ""
字符串: "kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-B236-48DD-8BCC-90A604B93E68}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\tldoor0.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-48DD-8BCC-B236-90A604B93E68}\
键值: daExeModuleName
字符串: "C:\DOCUME~1当前用户名\LOCALS~1\Temp\13222.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{67D81718-1314-5200-2597-587901018076}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{774D414D-9457-4707-9730-662C4F8D2856}\InProcServer32\@
键值: @
字符串: "%Program Files%\Internet Explorer\PLUGINS\WinSys8s.Sys"
3、新增注册表下列映象劫持项
5、删除的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
网络行为:
连接网络下载病毒体:
www.54***.cn/xzz/0603.exe(220.166.64.***)
74.54***.cn /yx/11.exe(220.166.64.***)
74.54***.cn /yx/13.exe (220.166.64.***)
www.54***.cn/xzz/0603.exe (220.166.64.***)
--------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天免费安全工具ATool多选下列进程,结束:
udchniv.exe
atthdop.exe
avwlcst.exe
kvdxscis.exe
kaqhfaz.exe
kvdxdis.exe
rsmyesp.exe
rarjbtl.exe
kvmxeis.exe
(2打开注册表编辑器,修改下列册表键值为旧值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\Windows\
AppInit_DLLs
New: 字符串: "rarjbpi.dll"
Old: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\Type
New: 字符串: "checkbox2"
Old: 字符串: "checkbox"
(3) 使用ATool >>工具>>搜索DLL功能, 搜索qdshm.dll,
卸载所有含有此病毒dll的进程。
(4) 打开“文件夹选项”,打开隐藏文件选项如下列状态之后,
删除病毒文件或使用ATool直接删除病毒文件:
(5)删除病毒文件:
%Program Files%\meex.exe
%Program Files%\Common Files\System\udchniv.exe
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.in
%system32%\avwlcst.exe
%system32%\avzxdst.exe
%system32%\kaqhfaz.exe
%system32%\kvdxdis.exe
%system32%\kvdxscis.exe
%system32%\kvmxeis.exe
%system32%\rarjbtl.exe
%system32%\rsmyesp.exe
%system32%\addrgjhelp.dll
%system32%\addrwdhelp.dll
%system32%\addrz_thelp.dll
%system32%\avwlcin.dll
%system32%\avzxain.dll
%system32%\kaqhfcs.dll
%system32%\kvdxacf.dll
%system32%\kvdxsacf.dll
%system32%\kvmxecf.dll
%system32%\qdshm.dll
%system32%\rarjani.dll
%system32%\rsmyafg.dll
(6)删除病毒添加注册表项,依据行为分析2、3项。
(7)同步骤3卸载WinSys8s.Sys,接着删除%Program Files%
\ Internet Explorer\PLUGINS\WinSys8s.Sys
(8)复制下列文本,保存为.reg格式,双击导入,
以修复安全模式注册表键:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
2、Worm.Win32.AutoRun.dg
太长了,不转载了,详情请查看
http://www.shadukey.com/html/shoudongshadu/20080505/484.html
参考资料: http://www.shadukey.com
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
Worm.Win32.AutoRun.ag 查杀
http://www.shadukey.com/html/shoudongshadu/20080505/474.html
病毒标签:
病毒名称: Worm..ag
中文名称: AutoRun蠕虫
病毒类型: 蠕虫类
文件 MD5: E3C42777C667D65D710FC9409011BD9A
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前26,220 字节,脱壳后151,552 字节
感染系统: Windows9x以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,连接网络下载病毒体到本机运行,添加
注册表启动项、修改映象劫持项与LSP项以导病毒体。删除注册表安全模式相关项,以阻止
用户访问安全模式。注入病毒.dll文件与.sys文件到多个进程,以获取游戏账号信息。病
毒通过在移动设备中衍生副本及Autorun.inf文件传播自身。
--------------------------------------------------------------------
行为分析:
本地行为:
1、文件运行后会衍生副本:
%Program Files%\meex.exe 26,220 字节
%system32%\avwlcst.exe 14,970 字节
%system32%\avzxdst.exe 15,045 字节
%system32%\kaqhfaz.exe 13,988 字节
%system32%\kvdxdis.exe 14,387 字节
%system32%\kvdxscis.exe 13,919 字节
%system32%\kvmxeis.exe 14,322 字节
%system32%\rarjbtl.exe 14,474 字节
%system32%\rsmyesp.exe 15,040 字节
%system32%\addrgjhelp.dll 8,714 字节
%system32%\addrwdhelp.dll 8,265 字节
%system32%\addrz_thelp.dll 9,362 字节
%system32%\avwlcin.dll 57 字节
%system32%\avzxain.dll 57 字节
%system32%\kaqhfcs.dll 55 字节
%system32%\kvdxacf.dll 48 字节
%system32%\kvdxsacf.dll 50 字节
%system32%\kvmxecf.dll 53 字节
%system32%\qdshm.dll 9,264 字节
%system32%\rarjani.dll 54 字节
%system32%\rsmyafg.dll 56 字节
%Program Files%\Common Files\System\udchniv.exe 26,220 字节
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe 26,220 字节
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.inf
%Program Files%\ Internet Explorer\PLUGINS\WinSys8s.Sys 45,199 字节
%Program Files%\ Internet Explorer\PLUGINS\SysWin7s.jmp 32,399 字节
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: hpbnijr
字符串:"%Program Files%\Common Files\System\udchniv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: pefbutr
字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{08E909A4-B236-48DD-8BCC-90A604B93E68}
键值: ""
字符串:"hook tl"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{2598FF45-DA60-F48A-BC43-10AC47853D52}
键值: ""
字符串: "rarjbpi.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3960356A-458E-DE24-BD50-268F589A56A3}
键值: ""
字符串: "avwlcmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3D561258-45F3-A451-F908-A258458226D3}
键值: ""
字符串: "kvdxscma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4859245F-345D-BC13-AC4F-145D47DA34F4}
键值: ""
字符串: "avzxdmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4C87A354-ABC3-DEDE-FF33-3213FD7447C4}
键值: ""
字符串: "kvdxdma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5D47B341-43DF-4563-753F-345FFA3157D5}
键值: ""
字符串: "kvmxema.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5E32FA58-3453-FA2D-BC49-F340348ACCE5}
键值: ""
字符串: "rsmyepm.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{67D81718-1314-5200-2597-587901018076}
键值: ""
字符串: "kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-B236-48DD-8BCC-90A604B93E68}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\tldoor0.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-48DD-8BCC-B236-90A604B93E68}\
键值: daExeModuleName
字符串: "C:\DOCUME~1当前用户名\LOCALS~1\Temp\13222.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{67D81718-1314-5200-2597-587901018076}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{774D414D-9457-4707-9730-662C4F8D2856}\InProcServer32\@
键值: @
字符串: "%Program Files%\Internet Explorer\PLUGINS\WinSys8s.Sys"
3、新增注册表下列映象劫持项
5、删除的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
网络行为:
连接网络下载病毒体:
www.54***.cn/xzz/0603.exe(220.166.64.***)
74.54***.cn /yx/11.exe(220.166.64.***)
74.54***.cn /yx/13.exe (220.166.64.***)
www.54***.cn/xzz/0603.exe (220.166.64.***)
--------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天免费安全工具ATool多选下列进程,结束:
udchniv.exe
atthdop.exe
avwlcst.exe
kvdxscis.exe
kaqhfaz.exe
kvdxdis.exe
rsmyesp.exe
rarjbtl.exe
kvmxeis.exe
(2打开注册表编辑器,修改下列册表键值为旧值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\Windows\
AppInit_DLLs
New: 字符串: "rarjbpi.dll"
Old: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\Type
New: 字符串: "checkbox2"
Old: 字符串: "checkbox"
(3) 使用ATool >>工具>>搜索DLL功能, 搜索qdshm.dll,
卸载所有含有此病毒dll的进程。
(4) 打开“文件夹选项”,打开隐藏文件选项如下列状态之后,
删除病毒文件或使用ATool直接删除病毒文件:
(5)删除病毒文件:
%Program Files%\meex.exe
%Program Files%\Common Files\System\udchniv.exe
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.in
%system32%\avwlcst.exe
%system32%\avzxdst.exe
%system32%\kaqhfaz.exe
%system32%\kvdxdis.exe
%system32%\kvdxscis.exe
%system32%\kvmxeis.exe
%system32%\rarjbtl.exe
%system32%\rsmyesp.exe
%system32%\addrgjhelp.dll
%system32%\addrwdhelp.dll
%system32%\addrz_thelp.dll
%system32%\avwlcin.dll
%system32%\avzxain.dll
%system32%\kaqhfcs.dll
%system32%\kvdxacf.dll
%system32%\kvdxsacf.dll
%system32%\kvmxecf.dll
%system32%\qdshm.dll
%system32%\rarjani.dll
%system32%\rsmyafg.dll
(6)删除病毒添加注册表项,依据行为分析2、3项。
(7)同步骤3卸载WinSys8s.Sys,接着删除%Program Files%
\ Internet Explorer\PLUGINS\WinSys8s.Sys
(8)复制下列文本,保存为.reg格式,双击导入,
以修复安全模式注册表键:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
2、Worm.Win32.AutoRun.dg
http://www.shadukey.com/html/shoudongshadu/20080505/474.html
病毒标签:
病毒名称: Worm..ag
中文名称: AutoRun蠕虫
病毒类型: 蠕虫类
文件 MD5: E3C42777C667D65D710FC9409011BD9A
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前26,220 字节,脱壳后151,552 字节
感染系统: Windows9x以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,连接网络下载病毒体到本机运行,添加
注册表启动项、修改映象劫持项与LSP项以导病毒体。删除注册表安全模式相关项,以阻止
用户访问安全模式。注入病毒.dll文件与.sys文件到多个进程,以获取游戏账号信息。病
毒通过在移动设备中衍生副本及Autorun.inf文件传播自身。
--------------------------------------------------------------------
行为分析:
本地行为:
1、文件运行后会衍生副本:
%Program Files%\meex.exe 26,220 字节
%system32%\avwlcst.exe 14,970 字节
%system32%\avzxdst.exe 15,045 字节
%system32%\kaqhfaz.exe 13,988 字节
%system32%\kvdxdis.exe 14,387 字节
%system32%\kvdxscis.exe 13,919 字节
%system32%\kvmxeis.exe 14,322 字节
%system32%\rarjbtl.exe 14,474 字节
%system32%\rsmyesp.exe 15,040 字节
%system32%\addrgjhelp.dll 8,714 字节
%system32%\addrwdhelp.dll 8,265 字节
%system32%\addrz_thelp.dll 9,362 字节
%system32%\avwlcin.dll 57 字节
%system32%\avzxain.dll 57 字节
%system32%\kaqhfcs.dll 55 字节
%system32%\kvdxacf.dll 48 字节
%system32%\kvdxsacf.dll 50 字节
%system32%\kvmxecf.dll 53 字节
%system32%\qdshm.dll 9,264 字节
%system32%\rarjani.dll 54 字节
%system32%\rsmyafg.dll 56 字节
%Program Files%\Common Files\System\udchniv.exe 26,220 字节
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe 26,220 字节
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.inf
%Program Files%\ Internet Explorer\PLUGINS\WinSys8s.Sys 45,199 字节
%Program Files%\ Internet Explorer\PLUGINS\SysWin7s.jmp 32,399 字节
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: hpbnijr
字符串:"%Program Files%\Common Files\System\udchniv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: pefbutr
字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{08E909A4-B236-48DD-8BCC-90A604B93E68}
键值: ""
字符串:"hook tl"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{2598FF45-DA60-F48A-BC43-10AC47853D52}
键值: ""
字符串: "rarjbpi.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3960356A-458E-DE24-BD50-268F589A56A3}
键值: ""
字符串: "avwlcmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3D561258-45F3-A451-F908-A258458226D3}
键值: ""
字符串: "kvdxscma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4859245F-345D-BC13-AC4F-145D47DA34F4}
键值: ""
字符串: "avzxdmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4C87A354-ABC3-DEDE-FF33-3213FD7447C4}
键值: ""
字符串: "kvdxdma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5D47B341-43DF-4563-753F-345FFA3157D5}
键值: ""
字符串: "kvmxema.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5E32FA58-3453-FA2D-BC49-F340348ACCE5}
键值: ""
字符串: "rsmyepm.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{67D81718-1314-5200-2597-587901018076}
键值: ""
字符串: "kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-B236-48DD-8BCC-90A604B93E68}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\tldoor0.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-48DD-8BCC-B236-90A604B93E68}\
键值: daExeModuleName
字符串: "C:\DOCUME~1当前用户名\LOCALS~1\Temp\13222.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{67D81718-1314-5200-2597-587901018076}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{774D414D-9457-4707-9730-662C4F8D2856}\InProcServer32\@
键值: @
字符串: "%Program Files%\Internet Explorer\PLUGINS\WinSys8s.Sys"
3、新增注册表下列映象劫持项
5、删除的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
网络行为:
连接网络下载病毒体:
www.54***.cn/xzz/0603.exe(220.166.64.***)
74.54***.cn /yx/11.exe(220.166.64.***)
74.54***.cn /yx/13.exe (220.166.64.***)
www.54***.cn/xzz/0603.exe (220.166.64.***)
--------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天免费安全工具ATool多选下列进程,结束:
udchniv.exe
atthdop.exe
avwlcst.exe
kvdxscis.exe
kaqhfaz.exe
kvdxdis.exe
rsmyesp.exe
rarjbtl.exe
kvmxeis.exe
(2打开注册表编辑器,修改下列册表键值为旧值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\Windows\
AppInit_DLLs
New: 字符串: "rarjbpi.dll"
Old: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\Type
New: 字符串: "checkbox2"
Old: 字符串: "checkbox"
(3) 使用ATool >>工具>>搜索DLL功能, 搜索qdshm.dll,
卸载所有含有此病毒dll的进程。
(4) 打开“文件夹选项”,打开隐藏文件选项如下列状态之后,
删除病毒文件或使用ATool直接删除病毒文件:
(5)删除病毒文件:
%Program Files%\meex.exe
%Program Files%\Common Files\System\udchniv.exe
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.in
%system32%\avwlcst.exe
%system32%\avzxdst.exe
%system32%\kaqhfaz.exe
%system32%\kvdxdis.exe
%system32%\kvdxscis.exe
%system32%\kvmxeis.exe
%system32%\rarjbtl.exe
%system32%\rsmyesp.exe
%system32%\addrgjhelp.dll
%system32%\addrwdhelp.dll
%system32%\addrz_thelp.dll
%system32%\avwlcin.dll
%system32%\avzxain.dll
%system32%\kaqhfcs.dll
%system32%\kvdxacf.dll
%system32%\kvdxsacf.dll
%system32%\kvmxecf.dll
%system32%\qdshm.dll
%system32%\rarjani.dll
%system32%\rsmyafg.dll
(6)删除病毒添加注册表项,依据行为分析2、3项。
(7)同步骤3卸载WinSys8s.Sys,接着删除%Program Files%
\ Internet Explorer\PLUGINS\WinSys8s.Sys
(8)复制下列文本,保存为.reg格式,双击导入,
以修复安全模式注册表键:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
2、Worm.Win32.AutoRun.dg
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
我现在自己已经找到方法了啊
你的机器被一个名叫Iexplorer.exe的病毒感染,杀毒后硬盘就再也不能双击打开了,只能右击盘符,然后才能打开!!同时默认的打开方式也由原来的“打开”变成了“自动播放”!
相信不少朋友也许有相同的经历。为了解决大家的不便,本人现将解决方案发布于下,同时诚望各位大虾们批评斧正!!
首先,点击“开始”菜单,打开“运行”(这个好像没有不知道的吧!!)
键入regedit打开注册表。
然后依次展开下列项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
将子目录下所有带加号“+”的项依次展开,如果发现有一项叫做“command”的这就是被病毒篡改过的了。正常模式下这一项应该为“DropTarget”。
解决方案很简单,只需把“病变”的项从“AutoRun”(注意是从“AutoRun”)往下全部删除即可。
现在打开一下心爱的硬盘看看,是不是OK了???一切就是这么简单!!
你的机器被一个名叫Iexplorer.exe的病毒感染,杀毒后硬盘就再也不能双击打开了,只能右击盘符,然后才能打开!!同时默认的打开方式也由原来的“打开”变成了“自动播放”!
相信不少朋友也许有相同的经历。为了解决大家的不便,本人现将解决方案发布于下,同时诚望各位大虾们批评斧正!!
首先,点击“开始”菜单,打开“运行”(这个好像没有不知道的吧!!)
键入regedit打开注册表。
然后依次展开下列项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
将子目录下所有带加号“+”的项依次展开,如果发现有一项叫做“command”的这就是被病毒篡改过的了。正常模式下这一项应该为“DropTarget”。
解决方案很简单,只需把“病变”的项从“AutoRun”(注意是从“AutoRun”)往下全部删除即可。
现在打开一下心爱的硬盘看看,是不是OK了???一切就是这么简单!!
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
