首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

autorun.inf和sbl.exe之U盘病毒的清除方法

作者:bl乄ue光耀 | 来源:互联网 | 2023-09-16 09:20
病毒生成如下文件:Code:C:\WINDOWS\system32\1.infC:\WINDOWS\system32\chostbl.ex
病毒生成如下文件:
Code:
  C:\WINDOWS\system32\1.inf
  C:\WINDOWS\system32\chostbl.exe
  C:\WINDOWS\system32\lovesbl.dll
  在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏
  注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的.
  启动类型:自动
  显示名称:A GooD DownLoad    CAHW
  调用TerminateProcess函数关闭如下进程
Code:
  360safe.exe
  360tray.exe
  runiep.exe
  avp.exe
  调用GetWindowsTextA函数 获得当前窗口标题,并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口
Quote:
  卡卡
  江民
  金山
  任务管理器
  木马清道夫
  木马克星
  超级巡警
  NOD32核心
  安全
  安全卫士
  木马杀客
  NOD32
  内核
  OD
  微点
  调用FindWindowA函数查找如下窗口 并试图调用PostMessageA函数向其发送WM_CLOSE指令 关闭窗口
Quote:
  AVP.AlertDialog
  AVP.Product_Notification
  AVP.Product_Noti
  调用cmd.exe 执行net stop sharedaccess命令 关闭Windows自带的防火墙服务
  C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程 
  利用svchost.exe执行下载木马操作
  
Code:
下载http://218.61.18.*/hao.exe
  http://218.61.18.*/wei.exe
  http://218.61.18.*/haowei.exe
  (ip地址为辽宁大连网通)
  到C:\Documents and Settings下面 并分别命名为servciesa.exe~servciesc.exe,下载间隔200ms
  
  测试中http://218.61.18.*/haowei.exe(servciesc.exe)链接已失效
  servciesa.exe为一感染下载者
  下载http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe,但下载链接已失效
  感染除以下文件夹下的exe文件
  
Quote:
WINDOWS
  WINNT
  RECYCLE
  System Volume Information
  Internet Explorer
  Outlook Express
  NetMeeting
  Common Files
  Messenger
  Windows Media Player
  WinRAR
  MSOCache
  Documents and Settings
  被感染文件被加入593字节的内容 图表不变 感染方式还得请高手来指教...
  servciesb.exe
  注册服务WindowsRemote 
  启动类型:自动
  显示名称:Windows Accounts Driver
  也是一个木马下载者 但下载链接失效
  病毒全部动作完毕以后,sreng日志如下:
  服务
Code:
[A GooD DownLoad    CAHW    / AnHao_VIP_CAHW][Running/Auto Start]
[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]
==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
  
手动解决方法:
  下载sreng 打开解压后运行srengps.exe
  “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Code:
A GooD DownLoad    CAHW    / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote
  重启计算机
  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示
  确定更改时,单击“是” 然后确定
  点击    菜单栏下方的 文件夹按钮(搜索右边的按钮)


推荐阅读
  • go

    在类中定义数组时出错 - Error on defining arrays in class

    Iamtryingtomakeaclassthatwillreadatextfileofnamesintoanarray,thenreturnthatarra ... [详细]
  • go

    解决Docker中volume的权限问题的方法

    在Docker中,将主机目录挂载到容器中作为volume使用时,常常会遇到文件权限问题。这是因为容器内外的UID不同所导致的。本文介绍了解决这个问题的方法,包括使用gosu和suexec工具以及在Dockerfile中配置volume的权限。通过这些方法,可以避免在使用Docker时出现无写权限的情况。 ... [详细]
  • go

    数据库的存储结构及其重要性

    本文介绍了数据库的存储结构及其重要性,强调了关系数据库范例中将逻辑存储与物理存储分开的必要性。通过逻辑结构和物理结构的分离,可以实现对物理存储的重新组织和数据库的迁移,而应用程序不会察觉到任何更改。文章还展示了Oracle数据库的逻辑结构和物理结构,并介绍了表空间的概念和作用。 ... [详细]
  • go

    在Windows 8上安装gvim中的插件的错误加载问题

    本文讨论了在Windows 8上安装gvim中插件时出现的错误加载问题。作者将EasyMotion插件放在了正确的位置,但加载时却出现了错误。作者提供了下载链接和之前放置插件的位置,并列出了出现的错误信息。 ... [详细]
  • list

    android listview OnItemClickListener失效原因

    android listview OnItemClickListener失效原因
    最近在做listview时发现OnItemClickListener失效的问题,经过查找发现是因为button的原因。不仅listitem中存在button会影响OnItemClickListener事件的失效,还会导致单击后listview每个item的背景改变,使得item中的所有有关焦点的事件都失效。本文给出了一个范例来说明这种情况,并提供了解决方法。 ... [详细]
  • post

    Web学习历程记录(七)——Tomcat基本概念和配置

    本文介绍了Web学习历程记录中关于Tomcat的基本概念和配置。首先解释了Web静态Web资源和动态Web资源的概念,以及C/S架构和B/S架构的区别。然后介绍了常见的Web服务器,包括Weblogic、WebSphere和Tomcat。接着详细讲解了Tomcat的虚拟主机、web应用和虚拟路径映射的概念和配置过程。最后简要介绍了http协议的作用。本文内容详实,适合初学者了解Tomcat的基础知识。 ... [详细]
  • char

    Linux环境变量函数getenv、putenv、setenv和unsetenv详解

    Linux环境变量函数getenv、putenv、setenv和unsetenv详解
    本文详细解释了Linux中的环境变量函数getenv、putenv、setenv和unsetenv的用法和功能。通过使用这些函数,可以获取、设置和删除环境变量的值。同时给出了相应的函数原型、参数说明和返回值。通过示例代码演示了如何使用getenv函数获取环境变量的值,并打印出来。 ... [详细]
  • go

    如何使用PHP向系统日历中添加事件?

    本文介绍了如何使用PHP向系统日历中添加事件的方法,通过使用PHP技术可以实现自动添加事件的功能,从而实现全局通知系统和迅速记录工具的自动化。同时还提到了系统exchange自带的日历具有同步感的特点,以及使用web技术实现自动添加事件的优势。 ... [详细]
  • go

    微软头条实习生分享深度学习自学指南

    微软头条实习生分享深度学习自学指南
    本文介绍了一位微软头条实习生自学深度学习的经验分享,包括学习资源推荐、重要基础知识的学习要点等。作者强调了学好Python和数学基础的重要性,并提供了一些建议。 ... [详细]
  • search

    获取当前模块所在路径的GetModuleFileName函数用法详解

    本文详细介绍了GetModuleFileName函数的用法,该函数可以用于获取当前模块所在的路径,方便进行文件操作和读取配置信息。文章通过示例代码和详细的解释,帮助读者理解和使用该函数。同时,还提供了相关的API函数声明和说明。 ... [详细]
  • php

    GetWindowLong函数

    GetWindowLong函数
    今天在看一个代码里头写了GetWindowLong(hwnd,0),我当时就有点费解,靠,上网搜索函数原型说明,死活找不到第 ... [详细]
  • go

    【机器学习】生成式对抗网络模型综述

    生成式对抗网络模型综述摘要生成式对抗网络模型(GAN)是基于深度学习的一种强大的生成模型,可以应用于计算机视觉、自然语言处理、半监督学习等重要领域。生成式对抗网络 ... [详细]
  • go

    云原生边缘计算之KubeEdge简介及功能特点

    云原生边缘计算之KubeEdge简介及功能特点
    本文介绍了云原生边缘计算中的KubeEdge系统,该系统是一个开源系统,用于将容器化应用程序编排功能扩展到Edge的主机。它基于Kubernetes构建,并为网络应用程序提供基础架构支持。同时,KubeEdge具有离线模式、基于Kubernetes的节点、群集、应用程序和设备管理、资源优化等特点。此外,KubeEdge还支持跨平台工作,在私有、公共和混合云中都可以运行。同时,KubeEdge还提供数据管理和数据分析管道引擎的支持。最后,本文还介绍了KubeEdge系统生成证书的方法。 ... [详细]
  • go

    CSS3选择器的使用方法详解,提高Web开发效率和精准度

    CSS3选择器的使用方法详解,提高Web开发效率和精准度
    本文详细介绍了CSS3新增的选择器方法,包括属性选择器的使用。通过CSS3选择器,可以提高Web开发的效率和精准度,使得查找元素更加方便和快捷。同时,本文还对属性选择器的各种用法进行了详细解释,并给出了相应的代码示例。通过学习本文,读者可以更好地掌握CSS3选择器的使用方法,提升自己的Web开发能力。 ... [详细]
  • go

    Open judge C16H: Magical Balls 快速幂+逆元问题解析

    本文主要解析了Open judge C16H问题中涉及到的Magical Balls的快速幂和逆元算法,并给出了问题的解析和解决方法。详细介绍了问题的背景和规则,并给出了相应的算法解析和实现步骤。通过本文的解析,读者可以更好地理解和解决Open judge C16H问题中的Magical Balls部分。 ... [详细]
author-avatar
bl乄ue光耀
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有