Worm.Win32.AutoRun.bqn病毒分析解决

所属分类: 实用技巧 / 病毒查杀 阅读数: 717
收藏 0 赞 0 分享
一、病毒相关分析: 
      病毒标签:
        病毒名称:Worm.Win32.AutoRun.bqn 
        病毒类型:蠕虫
        危害级别:2
        感染平台:Windows
        病毒大小:21,504(字节)
        SHA1  :01015B9F9231018A58A3CA1B5B6A27C269F807E6
        加壳类型:PECompact V2.X-> Bitsum Technologies
        开发工具:Microsoft Visual Basic 5.0 / 6.0

     病毒行为:
        1、程序运行后,释放副本

      %SystemRoot%\EXPL0RER.EXE


     %SystemRoot%\autorun.inf

     autorun.inf内容:

 
Quote:
[autorun]
open=EXPL0RER.EXE
shell\open=打开(&O)
shell\open\Command=EXPL0RER.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=EXPL0RER.EXE 



根据文件夹名来感染生成 对应的 目录名.exe
然后添加文件夹属性为 只读,系统,隐藏。不显示隐藏文件的效果是真实的文件夹全没了。
你看到的文件夹图标的都是病毒,因为病毒的图标是文件夹。
篡改注册表,不显示隐藏文件、系统文件和扩展名。

注册表主要变化:

修改值:65 

Quote:
新 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"

新 HKLM\SOFTWARE\Classes\Directory\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Directory\shell\: "none"

新 HKLM\SOFTWARE\Classes\Drive\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Drive\shell\: "none"

新 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""

新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002

新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001

 


  二、解决方案

  下载使用 wsyscheck ,打开 wsyscheck.exe ,进程管理--结束病毒进程EXPL0RER.EXE并删除。


  1.SREng修复文件关联   系统修复--文件关联--全选--自动修复

  2.修复磁盘打开方式、文件夹打开方式


Quote:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]





3.显示系统文件、隐藏文件、显示隐藏文件夹


Quote:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002



杀毒软件全盘扫描

使用第三方工具去掉各分区下被隐藏的文件夹,主要是去掉 系统属性
更多精彩内容其他人还在看

手工毒霸删除瓢虫病毒的图文教程第1/3页

手工毒霸删除瓢虫病毒的图文教程
收藏 0 赞 0 分享

19.exe,pagefile.pif专杀 pagefile.pif病毒 auto.inf

手工查杀新落雪病毒(19.exe,pagefile.pif,autorun.inf)
收藏 0 赞 0 分享

happy2008病毒专杀 happy2008病毒

Happy2008.zip病毒分析手动解决
收藏 0 赞 0 分享

avwghmn.dll svchost.exe病毒删除方法

avwghmn.dll svchost.exe病毒删除方法
收藏 0 赞 0 分享

木马程序Trojan-Spy.Win32.Agent.cfu清除方法

木马程序Trojan-Spy.Win32.Agent.cfu清除方法
收藏 0 赞 0 分享

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
收藏 0 赞 0 分享

中病毒后常用的解决方法病毒终极解决方案

中病毒后常用的解决方法病毒终极解决方案
收藏 0 赞 0 分享

系统时间改为2000年 修改系统时间病毒

系统时间改为2000年 修改系统时间病毒
收藏 0 赞 0 分享

病毒的万能查杀方法第1/2页

当发现病毒后,不要害怕,我们可以按照下面的方法,去试试,一般只需要不要给病毒运行的机会就可以了,一般进安全模式,去除病毒可能隐藏的启动项里。
收藏 0 赞 0 分享

sreng免费下载 sreng最新版下载

病毒查找利器
收藏 0 赞 0 分享
查看更多