|
|
文件名称: tel.xls.exe
File size: 110592 bytes
MD5: 3dc040cb3a352a8577f44a1ff8ef8ca8
SHA1: acf12d3a843126cc98efd9f8e77c1cf14b027a70
packers: BINARYRES
packers: embedded
编写语言: vb
杀软报为:
Kaspersky:Trojan.Win32.Agent.abu
DrWeb:BACKDOOR.Trojan packed by BINARYRES
文件变化:
释放文件c:\\windows\\system32\\FileKan.exe
c:\\windows\\system32\\SocksA.exe
c:\\windows\\BACKINF.TAB
c:\\windows\\Session.exe
c:\\windows\\svchost.exe(隐藏)
c:\\windows\\ufdata2000.log
%Temp%下释放两个随机名的临时文件(*.tmp)
释放每个盘符下
AUTORUN.INF (隐藏)
tel.xls.exe(隐藏)
替换系统文件c:\\windows\\system32\\mmc.exe(隐藏)
注册表变化:
注册表中添加
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
ASocksrv=SocksA.exe
/*实现随系统启动自动运行*/
HKLM\\SYSTEM\\ControlSet001\\Services\\mmc\\ImagePath: \"C:\\WINDOWS\\system32\\mmc.exe\"
HKLM\\SYSTEM\\ControlSet001\\Services\\mmc\\DisplayName: \"Smart Card Supervisor\"
HKLM\\SYSTEM\\ControlSet001\\Services\\mmc\\ObjectName: \"LocalSystem\"
/*添加服务[Smart Card Supervisor / mmc] */
删除注册表
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue: 0x00000001
/*把隐藏给删除*/
文件动作
连接本地127.0.0.1:3000
系统症状:
双击盘符不能进入盘符
windows任务管理器出现了一个kill的程序
鼠标右键点盘符出现\"Auto\"字样
无法显示隐藏文件
系统变慢,CPU经常100%
解决方法一:
1.Ctrl + Alt + attrib-h -r -s 打开任务管理器
结束应用程序中的kill和进程中的mmc.exe
2.删除注册表中添加
用sreng
删除启动项目
<ASocksrv><SocksA.exe>
删除服务
Win32服务应用程序=>删除服务=>设置=>删除
[Smart Card Supervisor / mmc]
<C:\\WINDOWS\\system32\\mmc.exe><N/A>
3.使用killbox,复制以下路径删除文件C:\\WINDOWS\\system32\\FileKan.exe
C:\\WINDOWS\\system32\\SocksA.exe
C:\\WINDOWS\\BACKINF.TAB
C:\\WINDOWS\\Session.exe
C:\\WINDOWS\\svchost.exe
C:\\WINDOWS\\ufdata2000.log
C:\\WINDOWS\\system32\\mmc.exe
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\windows\\CurrentVersion\\explorer\\Advanced\\Folder\\Hidden\\SHOWALL单击右键\"新建\" - \"Dword值\",并命名为CheckedValue,然后修改它的键值为1
或者你直接复制到以下代码到记事本,然后保存文件格式为.reg,最后双击导入即可Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]
\"RegPath\"=\"Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\"
\"Text\"=\"@shell32.dll,-30500\"
\"Type\"=\"radio\"
\"CheckedValue\"=dword:00000001
\"ValueName\"=\"Hidden\"
\"DefaultValue\"=dword:00000002
\"HKeyRoot\"=dword:80000001
\"HelpID\"=\"shell.hlp#51105
6.右键=>打开进入每个盘符 依次删除每个盘符里的文件
AUTORUN.INF
tel.xls.exe
7.复制别人机子里的正常文件到自己的相同路径
C:\\WINDOWS\\system32\\mmc.exe
也可以下载以下连接复制到自己的系统下
简体中文版本xp2
http://hzqedison.mm9mm.com/virus/chinese-simp/mmc.exe
(md5:0842B1FDFA334F18BCA1BF6CC7F56D1B)
解决方法二:
如果以上方法不行时,可以使用纯DOS强行删除的方法:
1、进入纯DOS,分别运行以下命令(假设系统盘在纯DOS下是C:):attrib-h -r -s C:\\WINDOWS\\system32\\FileKan.exe
attrib-h -r -s C:\\WINDOWS\\system32\\SocksA.exe
attrib-h -r -s C:\\WINDOWS\\BACKINF.TAB
attrib-h -r -s C:\\WINDOWS\\Session.exe
attrib-h -r -s C:\\WINDOWS\\svchost.exe
attrib-h -r -s C:\\WINDOWS\\ufdata2000.log
attrib-h -r -s C:\\WINDOWS\\system32\\mmc.exe
attrib-h -r -s c:\\autorun.inf
attrib-h -r -s c:\\tel.xls.exe
attrib-h -r -s d:\\autorun.inf
attrib-h -r -s d:\\tel.xls.exe
attrib-h -r -s e:\\autorun.inf
attrib-h -r -s e:\\tel.xls.exe
attrib-h -r -s f:\\autorun.inf
attrib-h -r -s f:\\tel.xls.exe
attrib-h -r -s g:\\autorun.inf
attrib-h -r -s g:\\tel.xls.exe
attrib-h -r -s h:\\autorun.inf
attrib-h -r -s h:\\tel.xls.exe
del C:\\WINDOWS\\system32\\FileKan.exe
del C:\\WINDOWS\\system32\\SocksA.exe
del C:\\WINDOWS\\BACKINF.TAB
del C:\\WINDOWS\\Session.exe
del C:\\WINDOWS\\svchost.exe
del C:\\WINDOWS\\ufdata2000.log
del C:\\WINDOWS\\system32\\mmc.exe
del c:\\autorun.inf
del c:\\tel.xls.exe
del d:\\autorun.inf
del d:\\tel.xls.exe
del e:\\autorun.inf
del e:\\tel.xls.exe
del f:\\autorun.inf
del f:\\tel.xls.exe
del g:\\autorun.inf
del g:\\tel.xls.exe
del h:\\autorun.inf
del h:\\tel.xls.exe |
|
发表于 2006-11-29 13:50:39
