eset nod32 | 360 | 小红伞 | 百度杀毒 | 卡巴斯基 | 金山毒霸 | 迈克菲 |

最近有一些朋友感染了Worm.Win32.AutoRun.cbq,感染病毒特发出解决办法

发布时间:2015-05-25

Worm.Win32.AutoRun.cbq,感染病毒确实讨厌.弄掉了又出现.首先大家进行下面的操作时.请大家先进入安全模式.这样以防删除后再次感染.进入安全模式后部要运行任何软件.直接进行下面的操作
进入安全模式的方式是开机后按F8进入,就是显示滚动条之前按!
第一步.手动删除下列文件
%Temp%\1754773.bat
%Temp%\dll773.dll
%SystemRoot%\system32\APPwinproc.dll
%SystemRoot%\system32\Nskhelper2.sys
%SystemRoot%\system32\NsPass0.sys
%SystemRoot%\system32\NsPass1.sys
%SystemRoot%\system32\NsPass2.sys
%SystemRoot%\system32\NsPass3.sys
X:\autorun.inf
X:\system.dll
X为任意盘符

2、手动修改以下注册表键:

HKEY_LOCAL_macHINE\SYSTEM\CurrentControlSet\Services\ Nskhelper2.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass0.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass1.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass2.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass3.sys

3.手动替换以下文件:

用相同版本替换
%SystemDriver%\system32\appmgmts.dll
%SystemDriver%\system32\schedsvc.dll
%SystemDriver%\system32\w32time.dll
%SystemDriver%\system32\wiaservc.dll

变量声明:

  %SystemDriver%        系统所在分区,通常为“C:\”
  %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows
  %Documents and Settings%   用户文档目录,通常为“C:\Documents and Settings”
  %Temp%          临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
  %ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”
病毒分析

1.病毒运行后检查自身是否被调试,如果发现ollydbg.exe、ollyice.exe、peditor.exe、loadpe.exe、c32asm.exe、importREC.exe进程,执行ExitProcess退出当前进程。
2.尝试打开Schedule、AppMgnt、srservice、W32Time和stisvc服务,如果成功,通过发送SERVICE_CONTROL_STOP控制码停止该服务。
3.释放并加载动态库文件%Temp%\dll773.dll,创建并执行批处理%Temp%\1754773.bat,自我删除。
4.在dll773.dll中,比较自己是否为svchost.exe,不是就释放"%SystemRoot%\system32\Nskhelper2.sys",遍历进程,如果发现avp.exe和360safe.exe,向"\\.\NsRk1"发送控制码,结果进程,恢复SSDT。
5.已挂起方式执行"%SystemRoot%\system32\svchost.exe",并将自己写入进程中,创建远程线程。
6.远程线程创启动后,创建线程,每隔1s,创建安全软件映像劫持;提升自身权限。
7.创建线程,遍历磁盘,将磁盘根目录下的免疫文件夹autorun.inf删除,创建autorun.inf,拷贝自己到磁盘根目录下为system.dll。
8.创建线程,修改hosts文件,连接网络,下载病毒列表文件。
9.创建线程,释放动态库文件"%SystemRoot%\system32\appwinproc.dll",并将其写入explorer.exe,创建远程线程。
10.在appwinproc.dll中,设置钩子,查找含有金山毒霸、卡巴斯基、nod32、瑞星卡卡、下载者、专杀、木马、杀毒、江民、奇虎、360安全卫士、超级巡警、McAffee字符的窗口。
11.释放驱动文件NsPass0.sys、NsPass1.sys、NsPass2.sys和NsPass3.sys修改appmgmts.dll、schedsvc.dll、w32time.dll和wiaservc.dll。

病毒创建文件:

%Temp%\1754773.bat
%Temp%\dll773.dll
%SystemRoot%\system32\appwinproc.dll
%SystemRoot%\system32\Nskhelper2.sys
%SystemRoot%\system32\NsPass0.sys
%SystemRoot%\system32\NsPass1.sys
%SystemRoot%\system32\NsPass2.sys
%SystemRoot%\system32\NsPass3.sys
X:\autorun.inf
X:\system.dll
X为任意盘符

病毒修改文件:

%SystemDriver%\system32\appmgmts.dll
%SystemDriver%\system32\schedsvc.dll
%SystemDriver%\system32\w32time.dll
%SystemDriver%\system32\wiaservc.dll

病毒创建注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Nskhelper2.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass0.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass1.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass2.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass3.sys

病毒访问网络:

***.com/30/count.asp
***.com/update/count.txt

 

  • 最近有一些朋友感染了Worm.Win32.AutoRun.cbq,感染病毒特发出解决办法 相关内容:
  • 现在还有nod32免费版的吗
  • 朋友你好,推荐一下组合,其实就是组成了完美的防火墙,让你的电脑从此放心运行在安全的环境中。 杀软的主要功能就是为了防御、中毒后再杀毒已为时已晚、在这里急救箱就发挥功能了、360卫士说实话还是可以的,【它自带防火墙,急救箱,可深入系统底层对活动木马进一步进行云查杀...

  • eset nod32 最新激活码:eset nod32 用户名和密
  •   目前最新的是2013-10-13的eset nod32激活码,包括最新ESET NOD32升级ID、NOD32免费升级ID、NOD32用户名密码,由于种种原因, 在这里不能提供关于ESET NOD32激活码,但是需要的朋友可以去网上搜,都搜索之后发现有很多这类的激活码,足够大家使用了。 猜你还喜...

  • ESET NOD32和ESET smart security有什么不同
  • ESS 是 ESET NOD32安全套装(ESET Smart Security)。EAV 是 ESET NOD32 防病毒软件(ESET NOD32 Antivirus)。 NOD32官方的版本是升级ID版,NOD32中国代理商的版本是激活码版(经过了修改)。 建议使用NOD32官方原版(升级ID版)。...

  • eset smart security好还是eset nod32好啊?
  • NOD32吧,eset自带的防火墙性能不怎么样,但eset smart security却比NOD32内存多占了不少。而且eset防火墙主要应对垃圾邮件。国内用户几乎用不到(因为其功能只针对邮件客户端如Foxmail,而国人多用网页邮箱)...

  • ESET NOD32 4.0最新激活码谁有?
  • NOD32升级id用户名:EAV-22896815 NOD32升级id密码:r287vftj8b NOD32升级id用户名:EAV-22896806 NOD32升级id密码:k62fkbkkdh NOD32升级id用户名:EAV-22896854 NOD32升级id密码:edmhdu7jms NOD32升级id用户名:EAV-22896816 NOD32升级id密码:57ecvatrxp NOD32...

  • ESET NOD32开机启动不了
  • 前段时间我也碰到过这个情况,可能是你用什么软件(如360把ESET的启动项给误删了),可以用设置注册表的方法把启动项添加回去。方法如下: 开始--运行 输入regedit 进入注册表 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 在右边空白处,点击右键的...

  • ESET Nod32安全杀毒软件好用吗?
  • 根据中关村2015半年度杀毒软件实用性横向评测: 1、国内软件普遍存在运行时占用内存大的缺点,金山毒霸除外。但是其它方面都表现良好。 2、国外软件普遍存在杀毒时间过长的缺点,AVG除外。 根据赛可达发布2015全球中文杀毒软件横评报告: 1、在动态扫描(保护)、用户体验方面,国内...

  • NOD32 的ESET Smart Security 和ESET NOD32 A
  • ESET Smart Security是带有防火墙的产品,ESET NOD32 Antivirus没有防火墙。现在的NOD32 4.0没有正式中文版,不过麦大汉化的就很好了。我用的就是。...

  • 查看更多>>

    eset nod32