eset nod32 | 360 | 小红伞 | 百度杀毒 |

最近有一些朋友感染了Worm.Win32.AutoRun.cbq,感染病毒特发出解决办法

Worm.Win32.AutoRun.cbq,感染病毒确实讨厌.弄掉了又出现.首先大家进行下面的操作时.请大家先进入安全模式.这样以防删除后再次感染.进入安全模式后部要运行任何软件.直接进行下面的操作
进入安全模式的方式是开机后按F8进入,就是显示滚动条之前按!
第一步.手动删除下列文件
%Temp%\1754773.bat
%Temp%\dll773.dll
%SystemRoot%\system32\APPwinproc.dll
%SystemRoot%\system32\Nskhelper2.sys
%SystemRoot%\system32\NsPass0.sys
%SystemRoot%\system32\NsPass1.sys
%SystemRoot%\system32\NsPass2.sys
%SystemRoot%\system32\NsPass3.sys
X:\autorun.inf
X:\system.dll
X为任意盘符

2、手动修改以下注册表键:

HKEY_LOCAL_macHINE\SYSTEM\CurrentControlSet\Services\ Nskhelper2.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass0.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass1.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass2.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass3.sys

3.手动替换以下文件:

用相同版本替换
%SystemDriver%\system32\appmgmts.dll
%SystemDriver%\system32\schedsvc.dll
%SystemDriver%\system32\w32time.dll
%SystemDriver%\system32\wiaservc.dll

变量声明:

  %SystemDriver%        系统所在分区,通常为“C:\”
  %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows
  %Documents and Settings%   用户文档目录,通常为“C:\Documents and Settings”
  %Temp%          临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
  %ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”
病毒分析

1.病毒运行后检查自身是否被调试,如果发现ollydbg.exe、ollyice.exe、peditor.exe、loadpe.exe、c32asm.exe、importREC.exe进程,执行ExitProcess退出当前进程。
2.尝试打开Schedule、AppMgnt、srservice、W32Time和stisvc服务,如果成功,通过发送SERVICE_CONTROL_STOP控制码停止该服务。
3.释放并加载动态库文件%Temp%\dll773.dll,创建并执行批处理%Temp%\1754773.bat,自我删除。
4.在dll773.dll中,比较自己是否为svchost.exe,不是就释放"%SystemRoot%\system32\Nskhelper2.sys",遍历进程,如果发现avp.exe和360safe.exe,向"\\.\NsRk1"发送控制码,结果进程,恢复SSDT。
5.已挂起方式执行"%SystemRoot%\system32\svchost.exe",并将自己写入进程中,创建远程线程。
6.远程线程创启动后,创建线程,每隔1s,创建安全软件映像劫持;提升自身权限。
7.创建线程,遍历磁盘,将磁盘根目录下的免疫文件夹autorun.inf删除,创建autorun.inf,拷贝自己到磁盘根目录下为system.dll。
8.创建线程,修改hosts文件,连接网络,下载病毒列表文件。
9.创建线程,释放动态库文件"%SystemRoot%\system32\appwinproc.dll",并将其写入explorer.exe,创建远程线程。
10.在appwinproc.dll中,设置钩子,查找含有金山毒霸、卡巴斯基、nod32、瑞星卡卡、下载者、专杀、木马、杀毒、江民、奇虎、360安全卫士、超级巡警、McAffee字符的窗口。
11.释放驱动文件NsPass0.sys、NsPass1.sys、NsPass2.sys和NsPass3.sys修改appmgmts.dll、schedsvc.dll、w32time.dll和wiaservc.dll。

病毒创建文件:

%Temp%\1754773.bat
%Temp%\dll773.dll
%SystemRoot%\system32\appwinproc.dll
%SystemRoot%\system32\Nskhelper2.sys
%SystemRoot%\system32\NsPass0.sys
%SystemRoot%\system32\NsPass1.sys
%SystemRoot%\system32\NsPass2.sys
%SystemRoot%\system32\NsPass3.sys
X:\autorun.inf
X:\system.dll
X为任意盘符

病毒修改文件:

%SystemDriver%\system32\appmgmts.dll
%SystemDriver%\system32\schedsvc.dll
%SystemDriver%\system32\w32time.dll
%SystemDriver%\system32\wiaservc.dll

病毒创建注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Nskhelper2.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass0.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass1.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass2.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NsPass3.sys

病毒访问网络:

***.com/30/count.asp
***.com/update/count.txt

 

  • 最近有一些朋友感染了Worm.Win32.AutoRun.cbq,感染病毒特发出解决办法 相关内容:
  • nod32 用户名和密码最新、eset nod32免费激活
  • 由于考虑到很多朋友使用eset nod32没有激活码,为了感谢广大网友对学盟网的支持,特此给大家开通获取正版nod32 用户名和密码的活动。一人一码。根据方法操作最高可以获得:正版三年独享nod32 用户名和密码激活码、激活码许可证密钥。领取半年、一年、三年正版激活码(发布的...

  • 怎么更换nod32用户名和密码,许可证到期怎么办?
  • 有朋友不会换nod32用户名和密码,还有就是不怎么会使用nod32用户名和密码,换了用户名和密码后nod32还是提示许可证到期(如图2)所以今天给一些新手朋友们做个简单的教程.老鸟的话就直接飞过就可以了.首先我们打开nod32主界面然后按照图1的操作步骤:点击左边的更新--->>再...

  • ESET NOD32 竞争优势
  • ...

  • NOD32更新的时候提示“临时文件创建时出错”,
  • 先教大家个简单的方法试试.直接打开c盘windows目录在这里创建一个名字为temp的文件夹就可以了.然后再去更新病毒库试试.不行的话继续看下面的教程1、首先您检查下列文件夹存在与否,并且是不是可以写入数据资源,里面加入新建文件夹。如果文件夹不存在,可以在他的同一个目录...

  • nod32无法更新,nod32提示:下载更新文件时出错
  • nod32更新的时候可能出现这个问题,下面小猪就以图文教程给大家列出来.解决办法.转载请注明本站链接 此时在NOD32的界面中按F5进入下图的界面 更换更新服务器即可,如果你要添加更新服务器点击右边的编辑输入更新地址即可. 点击更新病毒库 此时就已经更新好了....

  • nod32用户名和密码怎么使用(nod32升级id怎么使
  • ----------------------------------------------------------------------------------------------------------- 本站ID使用说明 --------------------------------------------------------------------------------------------...

  • 解决网友的两个问题:nod32 u盘自动扫描/扫描完
  • 曾经我就记得给大家讲解过这两个问题.1.nod32扫描完成后自动关机 2.关于nod32 u盘自动扫描.一.nod32 u盘自动扫描首先说下关于 nod32的u盘自动扫描.其实大家不用在意这个,因为nod32自己有高启发功能.就是能监视你打开的文件,如果有病毒他会自动隔离. 目前nod32 5.0加入...

  • 下载吧被nod32屏蔽!怎么解决?
  • 有朋友留言反映到一个问题,是关于雨林木风旗下的下载吧被封的问题,此网站一直感觉很不错,也不知道nod32为什么屏蔽了呢!如下图下载吧的子域名xiazai被nod32屏蔽,xiazai.xiazaiba.com 这个url是文件下载的接口!被封了就会造成下载吧所有文件都不能下载,都会被nod32屏蔽....

  • 发布时间:2015-05-25 14:55:04 查看更多>>

    eset nod32