2007-12-25 22:11:49| 分类: 默认分类 | 标签: |字号大中小 订阅
最近协助处理两起如题相关木马的案例,记录如下以备用: 症状描述: 双击无法打开分区,右键打开分区,并显示隐藏文件,在各分区根目录下存在打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,sxs.exe,都是隐藏、系统、只读属性. 网上查到的病毒运行机制: “利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马 首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复” 解决方案: 打开记事本,复制如下命令: attrib -h -r -s c:\sxs.exe del c:\sxs.exe attrib -h -s -r c:\autorun.inf del c:\autorun.inf attrib -h -r -s d:\sxs.exe del d:\sxs.exe attrib -h -s -r d:\autorun.inf del d:\autorun.inf attrib -h -r -s e:\sxs.exe del e:\sxs.exe attrib -h -s -r e:\autorun.inf del e:\autorun.inf attrib -h -r -s f:\sxs.exe del f:\sxs.exe attrib -h -s -r f:\autorun.inf del f:\autorun.inf attrib -h -r -s g:\sxs.exe del g:\sxs.exe attrib -h -s -r g:\autorun.inf del g:\autorun.inf attrib -h -r -s h:\sxs.exe del h:\sxs.exe attrib -h -s -r h:\autorun.inf del h:\autorun.inf 另存为所有文件,后缀名为 .bat 双击运行,至此应该可以清除病毒主体.但可能会出现如下状况:双击分区无法打开,出现“Windows脚本宿主 找不到autorun.vbs”的错误提示. 解决方案: 1.运行:regedit,找到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的userinit,其正确键值为"C:\WINDOWS\system32\userinit.exe,"(有逗号)或userinit.exe, 2.打开记事本,复制如下命令: @echo on taskkill /im explorer.exe /f taskkill /im wscript.exe start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f start reg import kill.reg del c:\autorun.* /f /q /as del %SYSTEMROOT%\system32\autorun.* /f /q /as del d:\autorun.* /f /q /as del e:\autorun.* /f /q /as del f:\autorun.* /f /q /as del g:\autorun.* /f /q /as del h:\autorun.* /f /q /as del i:\autorun.* /f /q /as del j:\autorun.* /f /q /as del k:\autorun.* /f /q /as del l:\autorun.* /f /q /as start explorer.exe 保存为所有文件,后缀为 .bat |
联系客服