这几天对服务器进行数据恢复的时候,采用移动硬盘数据对拷,结果发现:
系统症状
每次双击盘符出现一个新窗口
windows任务管理器出现了一个Excel的程序
鼠标右键点盘符出现"Auto"字样
无非显示隐藏文件
系统变慢,CPU经常100%
样本信息
File size: 49152 bytes
MD5: d88f7c6c15585404c30c92a11c429c36
SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e
文件属性为隐藏
样本命名
Kaspersky--Trojan.Win32.VB.atg
瑞星--Trojan.VB.vtj
样本分析
样本在注册表中添加
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
BSserver=FileKan.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ASocksrv=SocksA.exe
实现随系统启动自动运行
删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
/*把隐藏给删除*/
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
[UncheckedValue] 被修改为 1
/*文件扩展名被隐藏*/
样本释放文件
%SystemRoot%\system32\algsrv.exe
%SystemRoot%\system32\FileKan.exe
%SystemRoot%\system32\SocksA.exe
释放每个盘符下
AUTORUN.INF
tel.xls.exe
AUTORUN.INF文件内容
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkf
解决方法:
1.首先在任务管理器里将algsrv.exe进程停止结束.
2.进入目录删除文件
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
3.用sreng删除启动项目
4.恢复显示所有的文件项
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值",并命名为CheckedValue,然后修改它的键值为1
或者你直接复制到以下代码到记事本,然后保存文件格式为.reg,最后双击导入即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105
5.专杀工具:
http://www.ccfox.net/tel killer.rar
文章评论