你的位置：pcMing工作室 >> 资讯 >> windows >> 安全&病毒 >> 详细内容在线投稿

U盘病毒tel.xls专杀-Trojan.Win32.VB.atg

热度1030票浏览105次【共0条评论】【我要评论】时间：2010年1月18日 23:29

%wv;EJ;}/@ ^9K0[转载]U盘病毒tel.xls专杀-Trojan.Win32.VB.atg pcMing工作室I$t0L\,?&`b

L!yn{+x0u0RPY"u02006-12-10 09:20

pcMing工作室ZR-`)m6LT*O9I

)N5Y:N2l1o,oA8L0系统症状pcMing工作室u0uRaozA\f
每次双击盘符出现一个新窗口
inn-v5q9e&ky0windows任务管理器出现了一个Excel的程序pcMing工作室7l*b2i$yfb?&u
鼠标右键点盘符出现"Auto"字样pcMing工作室#n3S*]ybp#l'gX+f(D

@M(z:a*Y*J/~0系统症状
Ot6J`H(g,i0每次双击盘符出现一个新窗口pcMing工作室$xj!Vz5U$v
windows任务管理器出现了一个Excel的程序pcMing工作室]X;h r*VGn5i$DT0D
鼠标右键点盘符出现"Auto"字样pcMing工作室 ZM@hm w+QW

%~L`'cn"Z#Z0
w0\+H:v1_(o1| r0无法显示隐藏文件pcMing工作室o+e.aA ^H!R
无法取消或者钩选隐藏已知文件类型的扩展名pcMing工作室yj8zdV+{
pcMing工作室2B\M.q+H8IB$@
样本信息pcMing工作室(GW+}Dc4Je |
File size: 49152 bytespcMing工作室K&ISe~#g
MD5: d88f7c6c15585404c30c92a11c429c36pcMing工作室x~ |A,o;X:Q
SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e
7R&x)dOW[S0文件属性为隐藏
p4sE"N8P4B*~0
"} @}!esr ~0样本命名pcMing工作室8iAQN N_
Kaspersky--Trojan.Win32.VB.atg
(Gc P;PX$Z)o G0瑞星--Trojan.VB.vtj
v}J7C Fz?$j&Z0
/]b6o?k;J;dJEW'~0样本分析pcMing工作室#Y6xuq.uW$sc.M s
注册表中添加pcMing工作室XIp:Y!M-WG
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunpcMing工作室3X&B9Y6Pn%@/|,`
[ASocksrv]SocksA.exepcMing工作室1j`Q#U^!wm1Yy2pb
pcMing工作室B~ [A)K,Y~$_
HKCU\Software\Microsoft\Windows\CurrentVersion\RunpcMing工作室(x)kD8MO%Cka
[BSserver]FileKan.exepcMing工作室%CM0Cz+d-W(GB

HLIxMk0修改注册表
dw3ge'zD5hg^Nae?0HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLpcMing工作室HZW0M#};J
[CheckedValue] 被清空..
,T,Z\`})V4g/Dv0pcMing工作室r j/fM!z)z$tS[
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExtpcMing工作室d#Du F?Q
[UncheckedValue] 被修改为 1
nT*`2GF"S0pcMing工作室s4JOn6E&j"m&ZhTQ
释放文件
G6rxR#w P,I0C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmppcMing工作室 r;~ r{a
C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp
h5}&NF^"T0C:\WINDOWS\system32\algsrv.exe
f*r6h0a?V(x0C:\WINDOWS\system32\FileKan.exe
-dWY K6iV-Y0C:\WINDOWS\system32\SocksA.exe
~x:P7u[dvi1x0C:\windows\ufdata2000.logpcMing工作室+jD,n'Nl8s!l4h+H

H[)Sf)d9C4H+a]0每个盘符下释放pcMing工作室hj#d,N8J
AUTORUN.INFpcMing工作室9t&W,qh)nIkr
tel.xls.exe
k,YZzZ+Fae T0pcMing工作室7U"XY ~ um8O`R
AUTORUN.INF文件内容
+jI7D/@d}6f;d0[AutoRun]
p+h}.g{2M'T0open=tel.xls.exe
l4s.MB*{cm(I0shellexecute=tel.xls.exe
H+C$ad3dHRL0shell\Auto\command=tel.xls.exe
irq/O e7zl0shell=Auto
3dg"A#X4fCW6m`s)\0[VVflagRun]pcMing工作室!gpW7\h'T#^ i
aabb=kdkfjdkfpcMing工作室kH#~7^i^

TKhMm p0解决方案
T!Q H7E(j K.D01.Ctrl + Alt + Del 打开任务管理器
,Yrj'{S/fF^$JZX(f0结束应用程序中的ExcelpcMing工作室;f"Mu'CpZ$De8B

\n.I@Nn8zi;z0pcMing工作室v#p][4Z p*e
2. 删除文件pcMing工作室ws4xMI};QhKB$G
C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp
y~Z.pd+P,P0C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmppcMing工作室?x3yxR y
C:\WINDOWS\system32\algsrv.exe
*x$z&YT%v?"X0C:\WINDOWS\system32\FileKan.exepcMing工作室D&KrW2`P
C:\WINDOWS\system32\SocksA.exe
,A+YW/rtx!Z~nZ3a0C:\windows\ufdata2000.log
m y?r {T8y0
g)pWy `o~03. 删除注册表pcMing工作室 p`qe"p@@ f
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
r G{A;S0[ASocksrv]SocksA.exe
H)OHcfw:Y-W6i0
2k m:X Ol0HKCU\Software\Microsoft\Windows\CurrentVersion\RunpcMing工作室:AVG*o5NUJy8\G
[BSserver]FileKan.exepcMing工作室0vYykj @4In.h\'M
pcMing工作室,R1Y9B2za9g(O"T
4.恢复显示所有的文件项pcMing工作室Ut]&|hPw*g(Rq
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1
j:R5GEUu0
!`@U6S~5Ez+OK1C%{0HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
`6It:P)P:Z j0[UncheckedValue] 双击从 1 改回 0pcMing工作室9HH|8@2H6Ca(a

*`WvB'^.wk05.右键=>打开进入每个盘符依次删除每个盘符里的文件
x2\,EU9y0AUTORUN.INF
] T6d)vH{ V,f0tel.xls.exepcMing工作室RZ-w:KhV

TAG: 病毒

顶:53 踩:59

对本文中的事件或人物打分:
-5-5 -4-4 -3-3 -2-2 -1-1 00 11 22 33 44 55	当前平均分：-0.23 （320次打分）
对本篇资讯内容的质量打分:
-5-5 -4-4 -3-3 -2-2 -1-1 00 11 22 33 44 55	当前平均分：-0.32 （298次打分）