注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

走过的足迹

不鸣则已,一鸣惊人

 
 
 

日志

 
 

U盘病毒Worm.Mail.Brontok.GEN(Data SYSTEM.exe)的解决方法:  

2009-03-31 09:28:33|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

本文来自:http://bbs.czt163.com/dispbbs.asp?boardid=16&Id=96

U盘病毒Worm.Mail.Brontok.GEN(Data SYSTEM.exe)的解决方法:

修改注册表值 Shell    REG_SZ, "Explorer.exe" 改为 REG_SZ, "Explorer.exe "C:WINDOWSeksplorasi.exe""

  3、内存中的行为:

  内存中的病毒进程winlogon.exe、smss.exe、inetinfo.exe会间隔一段时间检测进程是否还存在,相互之间激活。反汇编病毒程序,发现有个timer控件,它的Interval值设为了200,按这个值算的话,应该是200mS检查一次。但实测时感觉没有这么快。一般来说,当Interval的值设的太小时,有可能会影响系统的性能。

  另外还发现Winlogon.exe等会时不时将注册表中的HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystem注册表值: DisableRegistryTools(REG_DWORD)在 00000000与00000001间改来改去。

  4、感染U盘:

  会向U盘根目录下复制病毒副本Data SYSTEM.exe(有时会是Data ADMINISTRATOR.exe,不一定。),在U盘的每个文件夹下复制一个文件夹下复制一个与所在文件夹同名的病毒副本。病毒的图标全是一个文件夹的样子。不过测试时没有发现该毒运用U盘的自启动功能传播,要使用者去点击病毒文件才能激活的。

  U盘病毒Worm.Mail.Brontok.GEN(Data SYSTEM.exe)的解决方法: - 高华 - 走过的足迹

  5、因为是在虚拟机内测的,没有联网,网络行为未知,但从命名上看肯定会通过邮件传播。

  解决办法:

  1、断开网络,用强力删除工具(XDelBox或费尔)删除以下文件:

  %Documents and Settings% 当前用户名「开始」菜单程序启动Empty.pif

  %Documents and Settings% 当前用户名Local SettingsApplication Datacsrss.exe   

  %Documents and Settings% 当前用户名Local SettingsApplication Datainetinfo.exe  

  %Documents and Settings% 当前用户名Local SettingsApplication Datalsass.exe   

  %Documents and Settings% 当前用户名Local SettingsApplication Dataservices.exe  

  %Documents and Settings% 当前用户名Local SettingsApplication Datasmss.exe    

  %Documents and Settings% 当前用户名Local SettingsApplication Datawinlogon.exe  

  %Documents and Settings% 当前用户名TemplatesBrengkolang.com

  %WinDir%eksplorasi.exe     

  %WinDir%ShellNewsempalong.exe 

  %System32%Administrator's Setting.scr

  删除文件夹%Documents and Settings% 当前用户名Local SettingsApplication DataBron.tok-12-1

  2、将下面的代码复制到记事本中,保存成VBS文件,运行解除注册表锁定

  dim wsh

  set wsh=wscript.createobject("wscript.shell")

  wsh.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

  PoliciesWinOldAppDisabled",""

  wsh.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

  PoliciesSystemDisableRegistryTools","0"

  wsh.popup ("已经成功解开注册表") 

  然后照上面的“行为分析”将注册表改回原值

  3、将C:Autoexec.bat里的可疑项删掉。

  评论这张
 
阅读(90)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017