首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

autorun.inf和sbl.exe之U盘病毒的清除方法

作者:bl乄ue光耀 | 来源:互联网 | 2023-09-16 09:20
病毒生成如下文件:Code:C:\WINDOWS\system32\1.infC:\WINDOWS\system32\chostbl.ex
病毒生成如下文件:
Code:
  C:\WINDOWS\system32\1.inf
  C:\WINDOWS\system32\chostbl.exe
  C:\WINDOWS\system32\lovesbl.dll
  在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏
  注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的.
  启动类型:自动
  显示名称:A GooD DownLoad    CAHW
  调用TerminateProcess函数关闭如下进程
Code:
  360safe.exe
  360tray.exe
  runiep.exe
  avp.exe
  调用GetWindowsTextA函数 获得当前窗口标题,并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口
Quote:
  卡卡
  江民
  金山
  任务管理器
  木马清道夫
  木马克星
  超级巡警
  NOD32核心
  安全
  安全卫士
  木马杀客
  NOD32
  内核
  OD
  微点
  调用FindWindowA函数查找如下窗口 并试图调用PostMessageA函数向其发送WM_CLOSE指令 关闭窗口
Quote:
  AVP.AlertDialog
  AVP.Product_Notification
  AVP.Product_Noti
  调用cmd.exe 执行net stop sharedaccess命令 关闭Windows自带的防火墙服务
  C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程 
  利用svchost.exe执行下载木马操作
  
Code:
下载http://218.61.18.*/hao.exe
  http://218.61.18.*/wei.exe
  http://218.61.18.*/haowei.exe
  (ip地址为辽宁大连网通)
  到C:\Documents and Settings下面 并分别命名为servciesa.exe~servciesc.exe,下载间隔200ms
  
  测试中http://218.61.18.*/haowei.exe(servciesc.exe)链接已失效
  servciesa.exe为一感染下载者
  下载http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe,但下载链接已失效
  感染除以下文件夹下的exe文件
  
Quote:
WINDOWS
  WINNT
  RECYCLE
  System Volume Information
  Internet Explorer
  Outlook Express
  NetMeeting
  Common Files
  Messenger
  Windows Media Player
  WinRAR
  MSOCache
  Documents and Settings
  被感染文件被加入593字节的内容 图表不变 感染方式还得请高手来指教...
  servciesb.exe
  注册服务WindowsRemote 
  启动类型:自动
  显示名称:Windows Accounts Driver
  也是一个木马下载者 但下载链接失效
  病毒全部动作完毕以后,sreng日志如下:
  服务
Code:
[A GooD DownLoad    CAHW    / AnHao_VIP_CAHW][Running/Auto Start]
[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]
==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
  
手动解决方法:
  下载sreng 打开解压后运行srengps.exe
  “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Code:
A GooD DownLoad    CAHW    / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote
  重启计算机
  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示
  确定更改时,单击“是” 然后确定
  点击    菜单栏下方的 文件夹按钮(搜索右边的按钮)


推荐阅读
  • install

    Linux网络配置详解:Firewalld与Netfilter机制解析及iptables应用

    在Linux系统中,网络配置是至关重要的任务之一。本文详细解析了Firewalld和Netfilter机制,并探讨了iptables的应用。通过使用`ip addr show`命令来查看网卡IP地址(需要安装`iproute`包),当网卡未分配IP地址或处于关闭状态时,可以通过`ip link set`命令进行配置和激活。此外,文章还介绍了如何利用Firewalld和iptables实现网络流量控制和安全策略管理,为系统管理员提供了实用的操作指南。 ... [详细]
  • install

    在CentOS 7环境中安装配置Redis及使用Redis Desktop Manager连接时的注意事项与技巧

    在CentOS 7环境中安装配置Redis及使用Redis Desktop Manager连接时的注意事项与技巧
    在 CentOS 7 环境中安装和配置 Redis 时,需要注意一些关键步骤和最佳实践。本文详细介绍了从安装 Redis 到配置其基本参数的全过程,并提供了使用 Redis Desktop Manager 连接 Redis 服务器的技巧和注意事项。此外,还探讨了如何优化性能和确保数据安全,帮助用户在生产环境中高效地管理和使用 Redis。 ... [详细]
  • cmd

    c/c++常用代码doc,ppt,xls文件格式转PDF格式[转]

    [转]doc,ppt,xls文件格式转PDF格式http:blog.csdn.netlee353086articledetails7920355确实好用。需要注意的是#import ... [详细]
  • cmd

    WinMain 函数详解及示例

    WinMain 函数详解及示例
    本文详细介绍了 WinMain 函数的参数及其用途,并提供了一个具体的示例代码来解析 WinMain 函数的实现。 ... [详细]
  • schema

    Android 自定义加载对话框 CustomProgressDialog

    本文介绍如何在 Android 中自定义加载对话框 CustomProgressDialog,包括自定义 View 类和 XML 布局文件的详细步骤。 ... [详细]
  • default

    开机自启动的几种方式

    开机自启动的几种方式
    0x01快速自启动目录快速启动目录自启动方式源于Windows中的一个目录,这个目录一般叫启动或者Startup。位于该目录下的PE文件会在开机后进行自启动 ... [详细]
  • io

    在范围[0..n-1]中产生m个不同的随机数 - Generating m distinct random numbers in the range [0..n-1]

    Ihavetwomethodsofgeneratingmdistinctrandomnumbersintherange[0..n-1]我有两种方法在范围[0.n-1]中生 ... [详细]
  • php

    网站访问全流程解析

    网站访问全流程解析
    本文详细介绍了从用户在浏览器中输入一个域名(如www.yy.com)到页面完全展示的整个过程,包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]
  • php

    解决Bootstrap DataTable Ajax请求重复问题

    解决Bootstrap DataTable Ajax请求重复问题
    在最近的一个项目中,我们使用了JQuery DataTable进行数据展示,虽然使用起来非常方便,但在测试过程中发现了一个问题:当查询条件改变时,有时查询结果的数据不正确。通过FireBug调试发现,点击搜索按钮时,会发送两次Ajax请求,一次是原条件的请求,一次是新条件的请求。 ... [详细]
  • install

    InfluxDB、collectd与Grafana的详细安装与配置指南

    本文详细介绍了 InfluxDB、collectd 和 Grafana 的安装与配置流程。首先,按照启动顺序依次安装并配置 InfluxDB、collectd 和 Grafana。InfluxDB 作为时序数据库,用于存储时间序列数据;collectd 负责数据的采集与传输;Grafana 则用于数据的可视化展示。文中提供了 collectd 的官方文档链接,便于用户参考和进一步了解其配置选项。通过本指南,读者可以轻松搭建一个高效的数据监控系统。 ... [详细]
  • install

    如何在Nginx服务器上轻松配置CertBot以实现SSL证书自动化管理

    为了确保iOS应用能够安全地访问网站数据,本文介绍了如何在Nginx服务器上轻松配置CertBot以实现SSL证书的自动化管理。通过这一过程,可以确保应用始终使用HTTPS协议,从而提升数据传输的安全性和可靠性。文章详细阐述了配置步骤和常见问题的解决方法,帮助读者快速上手并成功部署SSL证书。 ... [详细]
  • io

    利用Struts1构建简易计算器:采用DispatchAction处理请求,动态Form优化开发流程,提供用户友好的错误提示

    本文介绍了如何利用Struts1框架构建一个简易的四则运算计算器。通过采用DispatchAction来处理不同类型的计算请求,并使用动态Form来优化开发流程,确保代码的简洁性和可维护性。同时,系统提供了用户友好的错误提示,以增强用户体验。 ... [详细]
  • java

    如何在Docker环境中高效利用数据库? | Baeldung

    在本文中,我们将探讨如何在Docker环境中高效地管理和利用数据库。首先,需要安装Docker Desktop以确保本地环境准备就绪。接下来,可以从Docker Hub中选择合适的数据库镜像,并通过简单的命令将其拉取到本地。此外,我们还将介绍如何配置和优化这些数据库容器,以实现最佳性能和安全性。 ... [详细]
  • string

    Keepalived 的健康检查机制与配置方法

    Keepalived 提供了多种强大且灵活的后端健康检查机制,包括 HTTP_GET、SSL_GET、TCP_CHECK、SMTP_CHECK 和 MISC_CHECK 等多种检测方法。这些健康检查功能确保了高可用性环境中的服务稳定性和可靠性。通过合理配置这些检查方式,可以有效监测后端服务器的状态,及时发现并处理故障,从而提高系统的整体性能和可用性。 ... [详细]
  • string

    如何利用BAT脚本在Windows 10中实现一键清理系统垃圾文件?

    如何利用BAT脚本在Windows 10中实现一键清理系统垃圾文件?
    在Windows 10中,如何通过BAT脚本实现一键清理系统垃圾文件?许多用户在使用电脑时,往往忽略了定期清理缓存和临时文件的重要性,这会导致系统性能逐渐下降。通过编写和运行BAT脚本,用户可以轻松实现自动化清理,提高系统效率。 ... [详细]
author-avatar
bl乄ue光耀
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有