广杰博客

  • 首页
  • IT资讯
  • IT运维
  1. 首页
  2. IT运维
  3. 正文

U盘病毒tel.xls.exe分析解决

04/01/2011 1318点热度 0人点赞 0条评论

这几天对服务器进行数据恢复的时候,采用移动硬盘数据对拷,结果发现:
系统症状
每次双击盘符出现一个新窗口
windows任务管理器出现了一个Excel的程序
鼠标右键点盘符出现"Auto"字样
无非显示隐藏文件
系统变慢,CPU经常100%
样本信息
File size: 49152 bytes
MD5: d88f7c6c15585404c30c92a11c429c36
SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e
文件属性为隐藏

样本命名
Kaspersky--Trojan.Win32.VB.atg
瑞星--Trojan.VB.vtj

样本分析

样本在注册表中添加
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
BSserver=FileKan.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ASocksrv=SocksA.exe
实现随系统启动自动运行

删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
/*把隐藏给删除*/
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
[UncheckedValue] 被修改为 1
/*文件扩展名被隐藏*/

样本释放文件
%SystemRoot%\system32\algsrv.exe
%SystemRoot%\system32\FileKan.exe
%SystemRoot%\system32\SocksA.exe
释放每个盘符下
AUTORUN.INF
tel.xls.exe

AUTORUN.INF文件内容
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkf
解决方法:
1.首先在任务管理器里将algsrv.exe进程停止结束.
2.进入目录删除文件
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
3.用sreng删除启动项目
[Microsoft Corp.]
[Microsoft Corp.]
4.恢复显示所有的文件项
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值",并命名为CheckedValue,然后修改它的键值为1
或者你直接复制到以下代码到记事本,然后保存文件格式为.reg,最后双击导入即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105
5.专杀工具:
http://www.ccfox.net/tel killer.rar

标签: 暂无
最后更新:03/19/2017

guangjie

这个人很懒,什么都没留下

点赞
下一篇 >

文章评论

您需要 登录 之后才可以评论
最新 热点 随机
最新 热点 随机
Red Hat Enterprise Linux 9 发布,大量组件升级 windows10 家庭版添加hyper-v虚拟机组件 Red Hat Enterprise Linux 8.5 GA 发布 Rocky Linux 8.4 GA正式版发布下载 Rocky Linux 8.3 首个候选版本发布 CentOS 8.3 (2011) ISO镜像下载发布 CentOS Linux 落幕 CentOS Stream 上位 CentOS Linux 7.9 (2009) iso镜像下载 Windows 10 2020年10月更新ISO下载 ubuntu ssh通过密钥登陆服务器
Hyper-V Server 2012RTM版发布 linux下JDK和tomcat配置 Windows Server 2012显示桌面图标 解决Microsoft JETDatabase Engine 错误 '80004005' 未指定的错误 一个成功的网站SEO 必知的五个流程 kubeadm升级kubernetes集群 v1.15.1 腾讯webQQ linux oracle开机启动脚本 windows8 RTM发布下载地址 地址窗口化扩展插件(AWE)要求'锁定内存页'特权,但在该进程的访问标记中当前未提供该权限
标签聚合
nginx Hyper-V android php_curl linux springboot redhat Windows Server 2012
友情链接
  • linux运维
  • 郑州SEO

COPYRIGHT © 2021 gjie.cn. ALL RIGHTS RESERVED.

Theme Kratos Made By Seaton Jiang

豫ICP备07002435号-8