科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Worm.Win32.AutoRun.apm分析与清除

Worm.Win32.AutoRun.apm分析与清除

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒为通过U盘等移动存储传播的木马下载器,病毒运行后复制自身到系统目录,衍生病毒文件,其中无论自身副本还是衍生文件,文件名均为随机8位字母和数字组合而成,这样对于病毒的清除带来了很大的困难。

作者:mirk 来源:赛迪网 2008年4月25日

关键字: msccrt.exe msccrt

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  下载病毒文件运行后添加的启动项:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\AVPSrv

  键值: 字符串: "C:\WINDOWS\AVPSrv.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\cmdbcs

  键值: 字符串: "C:\WINDOWS\cmdbcs.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\DbgHlp32

  键值: 字符串: "C:\WINDOWS\DbgHlp32.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\Kvsc3

  键值: 字符串: "C:\WINDOWS\Kvsc3.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\LotusHlp

  键值: 字符串: "C:\WINDOWS\LotusHlp.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\mppds

  键值: 字符串: "C:\WINDOWS\mppds.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\msccrt

  键值: 字符串: "C:\WINDOWS\msccrt.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\MsIMMs32

  键值: 字符串: "C:\WINDOWS\MsIMMs32.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\MsPrint32D

  键值: 字符串: "C:\WINDOWS\MsPrint32D.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\NAVMon32

  键值: 字符串: "C:\WINDOWS\NAVMon32.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\NVDispDrv

  键值: 字符串: "C:\WINDOWS\NVDispDRV.EXE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\PTSShell

  键值: 字符串: "C:\WINDOWS\PTSShell.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\RegSrv64D

  键值: 字符串: "C:\WINDOWS\RegSrv64D.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\SHAProc

  键值: 字符串: "C:\WINDOWS\SHAProc.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\upxdnd

  键值: 字符串: "C:\WINDOWS\upxdnd.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\WinForm

  键值: 字符串: "C:\WINDOWS\WinForm.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\WinSysM

  键值: 字符串: "C:\WINDOWS\124327M.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\WinSysW

  键值: 字符串: "C:\WINDOWS\124327L.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\WSockDrv32

  键值: 字符串: "C:\WINDOWS\WSockDrv32.exe"

  注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的

  位置。

  %Windir%             WINDODWS所在目录

  %DriveLetter%          逻辑驱动器根目录

  %ProgramFiles%          系统程序默认安装目录

  %HomeDrive%           当前启动的系统的所在分区

  %Documents and Settings%    当前用户文档根目录

  %Temp%             \Documents and Settings

  \当前用户\Local Settings\Temp

  %System32%           系统的 System32文件夹

  Windows2000/NT中默认的安装路径是C:\Winnt\System32

  windows95/98/me中默认的安装路径是C:\Windows\System

  windowsXP中默认的安装路径是C:\Windows\System32

  清除方案:

  1 、使用安天防线2008可彻底清除此病毒(推荐),

  请到安天网站下载:www.antiy.com 。

  2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

  推荐使用ATool(安天安全管理工具),ATool下载地址:

  www.antiy.com或http://www.antiy.com/download/index.htm 。

  (1)使用Atool“进程管理”关闭病毒进程。

  (2)强行删除病毒文件:

  %System32%\44A98A2C.DLL

  %System32%\B0A5B6E8.EXE

  %DriveLetter%\auto.exe

  %DriveLetter%\autorun.inf

  %Windir%\124327MM.DLL

  %Windir%\124327WL.DLL

  %Windir%\AVPSrv.exE

  %Windir%\cmdbcs.exe

  %Windir%\DbgHlp32.exe

  %Windir%\Kvsc3.exE

  %Windir%\LotusHlp.exe

  %Windir%mppds.exe

  %Windir%\msccrt.exe

  %Windir%\MsIMMs32.exE

  %Windir%\MsPrint32D.exe

  %Windir%\NAVMon32.exE

  %Windir%\NVDispDRV.EXE

  %Windir%\PTSShell.exe

  %Windir%\RegSrv64D.exE

  %Windir%\SHAProc.exe

  %Windir%\upxdnd.exe

  %Windir%\WinForm.exE

  %Windir%\WSockDrv32.exe

  %System32%\AVPSrv.dll

  %System32%\cmdbcs.dll

  %System32%\DbgHlp32.dll

  %System32%\k120027795711.exe

  %System32%\k120027796820.exe

  %System32%\Kvsc3.dll

  %System32%\LotusHlp.dll

  %System32%\LYLOADER.EXE

  %System32%\LYMANGR.DLL

  %System32%\mppds.dll

  %System32%\msccrt.dll

  %System32%\MSDEG32.DLL

  %System32%\MsIMMs32.dll

  %System32%\MsPrint32D.dll

  %System32%\NAVMon32.dll

  %System32%\NVDispDrv.dll

  %System32%\PTSShell.dll

  %System32%\REGKEY.hiv

  %System32%\RegSrv64D.dll

  %System32%\SHAProc.dll

  %System32%\upxdnd.dll

  %System32%\WinForm.dll

  %System32%\WSockDrv32.dll

  (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Explorer

  \Advanced\Folder\Hidden\SHOWALL\CheckedValue]

  类型: DWORD

  新: DWORD: 0 (0)

  旧: DWORD: 1 (0x1)

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\AVPSrv

  键值: 字符串: "C:\WINDOWS\AVPSrv.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\cmdbcs

  键值: 字符串: "C:\WINDOWS\cmdbcs.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\DbgHlp32

  键值: 字符串: "C:\WINDOWS\DbgHlp32.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\Kvsc3

  键值: 字符串: "C:\WINDOWS\Kvsc3.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\LotusHlp

  键值: 字符串: "C:\WINDOWS\LotusHlp.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\mppds

  键值: 字符串: "C:\WINDOWS\mppds.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\msccrt

  键值: 字符串: "C:\WINDOWS\msccrt.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\MsIMMs32

  键值: 字符串: "C:\WINDOWS\MsIMMs32.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\MsPrint32D

  键值: 字符串: "C:\WINDOWS\MsPrint32D.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\NAVMon32

  键值: 字符串: "C:\WINDOWS\NAVMon32.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\NVDispDrv

  键值: 字符串: "C:\WINDOWS\NVDispDRV.EXE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\PTSShell

  键值: 字符串: "C:\WINDOWS\PTSShell.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\RegSrv64D

  键值: 字符串: "C:\WINDOWS\RegSrv64D.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\SHAProc

  键值: 字符串: "C:\WINDOWS\SHAProc.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\upxdnd

  键值: 字符串: "C:\WINDOWS\upxdnd.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\WinForm

  键值: 字符串: "C:\WINDOWS\WinForm.exE"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\WinSysM

  键值: 字符串: "C:\WINDOWS\124327M.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\WinSysW

  键值: 字符串: "C:\WINDOWS\124327L.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  \Windows\CurrentVersion\Run\WSockDrv32

  键值: 字符串: "C:\WINDOWS\WSockDrv32.exe"

  (4) 禁用服务667E56A

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号