av在线不卡网站 I 日本老年老熟无码 I 天天鲁天天谢天天擦 I 免费观看黄色小视频 I 欧美日韩中文字幕在线视频 I 国产精品av在线免费观看 I 日韩av影音先锋 I 91网站免费在线观看 I 五月婷影院 I 欧美狂猛xxxxx乱大交3 I 国产一级18片视频 I 无码熟妇αⅴ人妻又粗又大 I 奇米影视奇奇米色狠狠色777 I 国产乱人伦偷精品视频免 I 国产亚洲精品a片久久久 I 日韩,中文字幕 I 久久精品国产一区二区三区肥胖 I 97人人添人人爽一区二区三区 I av2014天堂 I 中文字幕精品一二三四五六七八 I 免费女人18a级毛片高清视频 I 精品在线视频播放 I 春节回家相亲孟孟在线观看 I 国产精品免费看久久久 I 免费国产片在线观看 I 寡妇一级淫片免费看 I 国产精品毛片一区二区在线 I 久久一区二区精品 I 日韩精品一区二区三区高清免费 I 欧美精品一区二区三区中文欧美人 I 亚洲精品视频在线看 I 1卡2卡3卡精品视频 I av资源免费观看 I 国产真裸无庶纶乱视频 I 亚洲午夜一二三区视频

作者：清新陽光

最近U盤病毒auto.exe鬧的比較兇，但與此同時，又發現了一個類似的通過U盤傳播的下載者病毒，希望各位網友要提高警惕。

下面是這個病毒的分析：
File: servver.exe
Size: 37888 bytes
MD5: 411AD11AC0FF5164C8B18AB4AD0D5739
SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA
CRC32: F57CD054

生成如下文件
在系統盤下生成其副本
%system32%\servver.exe
并在每個磁盤分區下生成
autorun.inf和servver.exe

注冊為服務 Windowsms
指向%system32%\servver.exe
啟動類型：自動
顯示名稱：Telephots google
服務描述：為即插即用設備提供支持

試圖修改注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun的鍵值 但測試時未實現

查找窗口“IE執行保護”查找到以后 查找按鈕“允許執行”
并發送WM_LBUTTONDOWN的指令 模擬按鍵
查找窗口 瑞星卡卡上網安全助手－IE防漏墻”查找到以后 查找按鈕 ldquo;允許”
并發送WM_LBUTTONDOWN的指令 模擬按鍵

查找有無drivers/klif.sys文件
如果有則通過cmd /c date 1981-01-12 命令把日期改為1981年1月12日
并在15s以后 把日期再改回來

調用CreateProcess打開進程c:\windows\system32\svchost.exe，然后調用WriteProcessMemory等函數往此進程中寫入病毒代碼，實現下載功能
下載如下
到%system32%文件夾下
下載的病毒有盜號木馬 威金等
其中117.exe可以進行arp欺騙
113.exe具有感染htm文件的功能

盜號木馬可以盜取以下一些網絡游戲的帳號密碼（包括但不限于）
征途
完美世界
QQ
...

并可結束如下進程或者服務（包括但不限于）
Noton AntiVirus Server
McTaskmanager
McShield
McAfeeFramework
kvsrvxp
DefWatch
KPfwSvc
KWatchSvc
RavMon.exe
RavMonD.exe
...

并可關閉自動更新和Windows自帶的防火墻

木馬和病毒植入完畢以后 sreng日志如下

啟動項目
注冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E418E9ED-9221-4661-B1F3-4AA35BD83832}> []
<{2960356A-458E-DE24-BD50-268F589A56A2}> []
==================================
服務
[Telephots google / Windowsms][Stopped/Auto Start]

[Remote Help Session Manager / Rasautol][Stopped/Auto Start]

[]
==================================
正在運行的進程
[PID: 3084][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\avwlbmn.dll] [N/A, ]
[C:\WINDOWS\system32\LYMANGR.DLL] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\thjphl.dll] [N/A, ]
[C:\WINDOWS\system32\bxtmaz.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\tojdcs.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\WinSys88.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
...

清除辦法：

一、清除病毒主程序
下載冰刃,sreng (http;//www.antidu.cn有的下)
打開sreng
ldquo;啟動項目”-“服務”-“Win32服務應用程序”中點“隱藏經認證的微軟項目”，
選中以下項目，點“刪除服務”，再點“設置”，在彈出的框中點“否”：

Telephots google / Windowsms

重啟計算機
使用冰刃刪除如下文件
%system32%\servver.exe
以及各個分區下的autorun.inf和servver.exe

二、清除木馬
以前寫的好多了，這里不再贅述。
具體方法參考之前的auto.exe的木馬群的查殺
以及隨機7位字母的dll木馬群的查殺方法
三、下載威金專殺修復受感染的exe文件
有的下載

四、使用記事本修復受感染的htm文件