分享
 
 
 

轻松使用U盘,U盘病毒详细介绍

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

terebmi.exe U盘病毒详细介绍

病毒表现:

在各个盘符里生成autorun.inf、xywrebh.exe两个文件

只要用户双击在打开各盘符,那么就自动运行了xywrebh.exe文件

在C:\Program Files\Common Files\System下生成terebmi.exe文件;

在C:\Program Files\Common Files\Microsoft Shared下生成nuygtvw.exe文件

无法打开所有带”病毒”字样的文档

无法打开IE(开一会就自动关闭)

解决方法:

必须在断网的前提下进行。

过程如下:

首先,我发现的是该病毒没把精锐网吧辅助工具5.7禁用,所以我在其里面的进程管理项目栏里找到了上面那两个病毒的进程名与路径,直接右键选择“终止进程并禁止运行”,之后在限制恢复栏目里点击浏览找到病毒路径,直接选删除文件。并在启动管理项目栏里将病毒启动项清除。

使用”eFix--Hidden(恢复系统隐藏文件).reg”示隐藏属性

此时,路径病毒已经被清除,但还有残留。用资源管理器找到以下两个路径:

C:\Program Files\common files\system和C:\Program Files\Common Files\Microsoft Shared

将可疑文件删掉。(主要是terebmi.exe和nuygtvw.exe两个)

需要特别注意的是在HOSTS里,将其内容改为

# Copyright (c) 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (sUCh as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

即可

附:FileFix--Hidden(恢复系统隐藏文件).reg内容(针对XP)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]

"Text"="@shell32.dll,-30499"

"Type"="group"

"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\

48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\

00

"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30501"

"Type"="radio"

"CheckedValue"=dWord:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

将以上内容复制到记事本中,保存为*.reg格式文件,双击导入注册表即可。

ielp.exe U盘病毒详细介绍

运行后文件变化

各个分区生成autorun.inf 和ielp.exe

修改系统时间为2005年1月17日0:00

注册表变化

修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为 0x00000001

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Type:值为"radio2"

破坏显示隐藏文件

连接网络下载木马

读取http://www.jh177.cn/googel.txt等下载列表文件

与%system32%\iehelp.ini进行同步

下载列表中的木马文件到%system32%下分别命名为ie_help0.exe~ie_help2.exe

木马植入完毕以后生成如下文件

%system32%\drivers\svchost.exe

%system32%\EXPL0RER.EXE

%system32%\iehelp.ini

%system32%\ie_help0.exe

%system32%\ie_help1.exe

%system32%\ie_help2.exe

%system32%\SVCH0ST.EXE

%system32%\svchcst.exe

其中%system32%\SVCH0ST.EXE和%system32%\EXPL0RER.EXE双进程保护

对应的sreng日志如下

启动项目

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

服务

[Windows Aseounts Driver / windownhp][Running/Auto Start]

[HTTP Client / HTTP Client][Running/Auto Start]

[Automatic Updates / wuauserv][Running/Auto Start]

清除办法:

1.打开sreng

启动项目 注册表 删除如下项目

双击shell 把其键值改为Explorer.exe

2.重启计算机进入安全模式

把下面的代码拷入记事本中然后另存为1.reg文件

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

双击1.reg把这.个注册表项导入

3.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏.文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)

从左边的资源管理器 进入系统所在盘

删除如下文件

ielp.exe

autorun.inf

%system32%\drivers\svchost.exe

%system32%\EXPL0RER.EXE

%system32%\iehelp.ini

%system32%\ie_help0.exe

%system32%\ie_help1.exe

%system32%\ie_help2.exe

%system32%\SVCH0ST.EXE

%system32%\svchcst.exe

从左边的资源管理器 进入其他盘

删除ielp.exe和autorun.inf即可!

CMD32.exe U盘病毒详细介绍

中毒表现:

释放文件

%Windows%CMD32.exe

%System%voice.cpl

%System%timedate.cpl

各分区根目录释放

X:autorun.inf

autorun.inf 内容

[autorun]

Open=EvilDay.exe

shellexecute=EvilDay.exe

shell打开(&O)command=EvilDay.exe

shell=打开(&O)

shell2=浏览(&B)

shell2Command=EvilDay.exe

shell3=资源管理器(&X)

shell3Command=EvilDay.exe

修改注册表:

病毒创建启动项

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

"NOTEPAD"="%Windows%CMD32.exe"

修改自动播放禁用设置

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]

"NoDriveTypeAutoRun"=dword:0000005b

禁用“显示所有文件和文件夹”

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"=dword:00000000

禁用“注册表编辑器”

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableRegistryTools"=dword:00000001

其他行为:

使用命令启动自动播放服务

net start ShellHWDetection

删除hips软件 GhostSecuritySuite 主程序

%ProgramFiles%GhostSecuritySuitegss.exe

修改系统时间

1937-07-07 12:00

创建 Image File Execution Options 劫持安全相关程序,当被劫持程序运行,实际运行的是病毒主程序。

包括:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsTwister.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsSNATask.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsSysWarn.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionssloemnit.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsFilMsg.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsgss.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVStart.EXE][HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch.EXE]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsRvaMon.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsrva.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPMain.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPMon.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPSVC.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPSVC1.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPSVC2.exe]

结束安全软件相关进程,以及VMware tools

SysWarn.exe

snatry.exe

sloemnit.exe

SNATask.exe

VMwareUser.exe

snaregmn.exe

vmsrvc.exe

vmusrvc.exe

FilMsg.exe

Twister.exe

gss.exe

KAVStart.EXE

KWatch.EXE

清除方法:

1.结束进程

%Windows%CMD32.exe

2.删除病毒文件

%Windows%CMD32.exe

%System%voice.cpl

%System%timedate.cpl

X:autorun.inf

3.修改回系统时间

4.重启计算机

下载SREng

打开sreng-系统修复-windows shell/ie-全选-修复-

5.删除病毒创建的注册表

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

"NOTEPAD"

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"

6.修改注册表,修复被禁用的“自动播放”

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]

"NoDriveTypeAutoRun"=dword:00000091

7.删除 Image File Execution Options 映像劫持项

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsTwister.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsSNATask.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsSysWarn.exe][HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionssloemnit.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsFilMsg.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsgss.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVStart.EXE]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch.EXE]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsRvaMon.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsrva.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPMain.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPMon.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPSVC.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPSVC1.exe]

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPSVC2.exe]

清除完成!

Desktop.exe U盘病毒详细介绍

一、发现进程当中有wuauserv.exe这个进程

有这个进程的话,说明你的电脑中毒了,表现的方式就是无法显示计算机中隐藏的文件和文件夹。即使在文件夹选项中选择了“显示所有文件和文件夹”,确定后它又自动改回去了。并且感染病毒后,U盘里会带一个desktop.exe的病毒文件,有一个folder.exe文件,有可能还有desktop2.exe,都是隐藏的,有一些还伪装成受系统保护的文件。感染到电脑后会生成SVCHOST.EXE病毒母本。

手工删除它的方法如下:

1.打开任务管理器,把病毒进程wuauserv.exe关掉(这个进程在安全模式里也能被病毒启动)。

2.打开注册表编辑器(在开始->运行中输入regedit),找到

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL],把"CheckedValue"的健值改为1,类型为dword。

修改注册表,解除“不显示系统文件和隐藏文件”的问题。

再找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon],把"Userinit"这个键的键值改为"userinit.exe,"(带逗号的)。

3.然后打开“文件夹选项”->“查看”,把“隐藏受保护的操作系统文件”的勾去掉,把“显示所有文件和文件夹”选上,确定。

4.进入c:\windows\system32\目录,按照文件类型排序,找到wuauserv.exe文件,删除。在目录最底下会发现有两个注册表文件,分别是boothide.reg和bootrun.reg,删除它们(不要管弹出的警告)。

5.最后的一步需要删除一个svchost.exe文件。先打开任务管理器,可以看到里面有多个SVCHOST.EXE进程,大部分都是全部大写的字母,其中有一个是写成小写的svchost.exe,这个就是病毒的进程。如果你使用的是XP的SP2系统,在进程上点右键,选择"打开所在目录",就可以打开这个进程所在的目录,是在c:\windows\system32\svchost\目录里。先把这个小写的svchost.exe进程停止掉,再把这个目录整个删除掉,就OK了。

(如果是在system32文件夹下,就是正常文件,如果是在上述文件夹下,就是病毒。)

6.重启后进入系统,打开任务管理器发现病毒进程没了。文件夹选项也没被改,查看病毒文件也没了。至此终于可以正常随意地显示隐藏文件了。

7.中毒的U盘里会带有desktop.exe这个病毒文件,有folder.exe文件,有的还有desktop2.exe文件,只有在显示受保护的系统文件的情况下才能看到,删除时会有警告,不用管他。还有其他一些隐藏文件如autorun.inf,不管他,都删了。在删除电脑里的病毒时别忘了把自己U盘插上,把病毒也清了,觉得麻烦就格式化好了。在别人的电脑里使用U盘时先确定该电脑里的进程里有没有wuauserv.exe,免得再次中招。

二、病毒感染保护机制分析

1.用IceSworld 尝试删除c:\windows\system32\svchost\svchost.exe文件,发现删除后过一会儿该文件能重新生成。

2.用process Monitor 1.0 监视 path内容包含svchost.exe的注册表/文件/进程活动发现在svchost.exe被删时,系统会自动添加U盘下的desktop.exe进程,desktop.exe活动后会重新创建生成svchost.exe病毒文件。可见desktop.exe是保护svchost.exe病毒的幕后黑手!更为狡猾的是desktop.exe在生成svchost.exe病毒文件后就会自动关闭,很难察觉。

3.用IceSworld 查看U盘下的隐藏文件,发现U盘下不仅有desktop.exe,还有folder.exe,desktop2.exe,autorun.inf文件删除U盘下这几个文件。再删除c:\windows\system32\svchost\svchost.exe文件,svchost.exe病毒文件就没有再生成。

4.wuauserv.exe进程在安全模式下也会启动,wuauserv.exe进程活动时,如果svchost.exe病毒文件也没有清除,即使U盘格式化也无济于事:可能wuauserv.exe和svchost.exe文件能反过来生成U盘下的病毒文件。

5.process Monitor 监视可以发现注册表以下被添加/改动,按照以下方法改回去即可:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL],把"CheckedValue"的健值改为1,类型为word。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon],把"Userinit"这个键的键值改为"userinit.exe,"(带逗号的)。

wscript.exe U盘病毒详细介绍

计算机安全资讯网截获一个以移动存储介质传播,修改网页文件的“U盘病毒”。

之所以在“U盘病毒”上加引号,是因为它似乎是一个纯粹“概念性”的恶意文件,与一般U盘病毒的木马、后门特性不同,此病毒不具有泄露用户隐私数据的企图和作用。更重要的是,其主体为一个vbs文件,作者通过它,又向我们展示了.vbs文件的“强大威力”。

病毒复制自身到

%WinDir%{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs

%System%{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs

X:{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs

并释放X:autorun.inf,这里的 X 指每一个盘。为以上文件加入隐藏属性和系统属性。

除了通过autorun.inf之外,还以以下方式实现启动:

1.将注册表

HKEY_CURRENT_USERSoftWareMicrosoftWindows NTCurrentVersionWindowsLoad 键值指向在%System%.中的副本

2.修改.txt文件关联,指向在%WinDir%中的副本,另外与典型的U盘病毒类似的作法是,修改破坏显示隐藏文件的注册表,以及驱动器禁用自动播放设置。

同时,病毒由wscript.exe调用后常驻内存,可搜索并结束以下进程:

"ras.exe","360tray.exe","taskmgr.exe","regedit.exe","msconfig.exe","SREng.exe","USBAntiVir.exe"

来阻碍用户的清除工作。

病毒具有自更新机制,当新版本的病毒体进入电脑后会覆盖旧版本。

同时,病毒有令人厌恶的感染机制:

病毒每一次启动,搜索除C盘以外的盘符下的*.htm,*.ASP,*.Html,*.vbs文件,并将病毒主体代码内容加在搜索到的前150个未感染网页文件内容的前面。

然而病毒最令人忍俊不禁之处在于:

病毒搜索除C盘以外的盘符下的*.mpg, *.rmvb, *.avi, *.rm等视频文件,并以其文件名中含不含有病毒所设定的某些“令人尴尬”的文字为判断依据,确定文件是否色情视频,若确认为色情视频,则立即删除之!!

这一招,也许就是某些用户的“噩梦”了……

清除方法也不算复杂,用第三方进程管理工具(只需不在被结束进程列表中),结束内存中的wscript.exe进程,之后进行删除文件和恢复注册表的工作。

最麻烦的一环,仍然是清理被加入代码的网页文件。被加入代码以"'$Top"开始,以"'$Bottom"结束,将这两个标号之间的内容删除即可。

至于被删除的XXX片……

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有