遭遇Worm.UsbSpy.a/Worm.Win32.Delf.aj

最新推荐文章于 2024-09-13 12:57:01 发布
最新推荐文章于 2024-09-13 12:57:01 发布
阅读量1.7k 收藏
点赞数
分类专栏: 系统维护 文章标签: microsoft browser vba 任务 file c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1212582
版权

endurer 原创

2006-09-12 第1

有一位朋友,他把移动硬盘接到电脑上使用,上午还正常,但下午用时则有数据保护的出错提示信息。

该朋友电脑使用的是Win XP SP2,因未联网,所以不能从网上下载 HijackThis 等软件来分析。

打任务管理器,发现一个名为wincfgs.exe的进程,图标为一个黄色问号,十分可疑,终止了。

打开命令提示符窗口搜索文件:
/------------
C:/Documents and Settings/user>attrib /wincfgs*.* /s
   SHR     C:/Windows/system32/wincfgs.exe
------------/
文件在C:/Windows/system32中,具有系统、隐藏、只读属性,用WinRAR打包备份后删除。

打开注册表编辑器,搜索包含“wincfgs”的项目,发现
/------------
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
"load"="C://windows//system32//wincfgs.exe"
------------/

再检查移动硬盘,在根目录下发现autorun.inf。文件内容如下:
/----------
[autorun]
open=./RECYCLER/RECYCLER/autorun.exe

shell/1=Open
shell/1/Command=./RECYCLER/RECYCLER/autorun.exe
shell/2/=Browser
shell/2/Command=./RECYCLER/RECYCLER/autorun.exe

shellexecute=./RECYCLER/RECYCLER/autorun.exe
----------/
居然有个文件autorun.exe藏在回收站里。
用fc命令比较,autorun.exe 与 前面发现的wincfgs.exe完全相同。

瑞星报为 Worm.UsbSpy.a

 STATUS: FINISHED

Complete scanning result of "wincfgs.exe", received in VirusTotal at 09.12.2006, 06:40:13 (CET).

AntivirusVersionUpdateResult
AntiVir7.1.1.1609.11.2006Worm/Delf.AJ.1
Authentium4.93.809.11.2006W32/Sillyworm.RE
Avast4.7.844.009.11.2006Win32:Delf-AQT
AVG38609.11.2006Worm/Delf.GW
BitDefender7.209.12.2006Trojan.Agent.AAE
CAT-QuickHeal8.0009.11.2006Worm.Delf.aj
ClamAVdevel-2006042609.12.2006Worm.Delf-21
DrWeb4.3309.11.2006Trojan.MulDrop.3780
eTrust-InoculateIT23.72.12209.12.2006Win32/USBSpy.1pk!Trojan
eTrust-Vet30.3.307109.11.2006Win32/Bypuss.A
Ewido4.009.11.2006Worm.Delf.aj
Fortinet2.77.0.009.11.2006W32/Delf.AJ!worm
F-Prot3.16f09.11.2006W32/Sillyworm.RE
F-Prot44.2.1.2909.11.2006W32/Sillyworm.RE
Ikarus0.2.65.009.11.2006 no virus found
Kaspersky4.0.2.2409.12.2006Worm.Win32.Delf.aj
McAfee484909.11.2006Generic MultiDropper.b
Microsoft1.156009.12.2006 no virus found
NOD32v21.175009.11.2006Win32/Delf.AJ
Norman5.90.2309.11.2006W32/Delf.OMO
Panda9.0.0.409.11.2006Adware/Look2Me
Sophos4.09.009.11.2006W32/Delf-CRK
Symantec8.009.12.2006 no virus found
TheHacker5.9.8.20909.11.2006W32/Delf.aj
UNA1.8309.11.2006Worm.Win32.Delf
VBA323.11.109.12.2006Worm.Win32.Delf.aj
VirusBuster4.3.7:909.11.2006Worm.Delf.AZX

Aditional Information

File size: 47104 bytes

MD5: 07adddef653a702b9a11edbcee07e82b

SHA1: 97729f6df1cd96b61e3e2bc1a841adf1720e2ec5

紫郢剑侠
关注
专栏目录
net.worm.win32.kido专杀工具
06-25
手动移除方法 ...1、删除如下注册表项: [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 2、从系统注册表项中删除如下所示"%System%\<rnd>.dll": [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost...
Net-Worm.Win32.Kido.ih 专杀工具
06-07
Net-Worm.Win32.Kido.ih 是一种广泛传播的蠕虫病毒,它主要通过网络进行扩散,对用户的计算机系统安全构成严重威胁。这个病毒能够影响Windows操作系统,导致各种问题,比如网络连接受阻,尤其是可能导致无法访问微软...
bat.worm.muma.rar_WORM
09-20
标题中的“bat.worm.muma.rar_WORM”指的是一个蠕虫病毒,该病毒主要通过BAT(批处理)文件传播。蠕虫病毒是一种自我复制的恶意软件,能够在计算机网络中独立移动,无需人为干预,通常通过电子邮件、即时消息、下载...
delphi Virus.Win32.HLLW.Delf.k.
05-02
标题 "delphi Virus.Win32.HLLW.Delf.k." 指的是一种特定的计算机病毒,它属于 Delphi 编程语言编写并且在 Windows 32 位平台上运行的 HLLW(High Level Language Worm)类病毒。这种病毒通常会自我复制并利用系统...
delphi Email-Worm.Win32.Canbis
05-02
delphi Email-Worm.Win32.Canbis
如何编写智能合约——基于长安链的Go语言的合约开发
最新发布
目前专注区块链相关技术的学习与分享
09-13 983
定义 FactContract 作为合约的核心结构体。我们还定义了 Fact 结构体来存储文件的存证信息,包括证据类型、版本、文件哈希、文件名和时间。
Prism库:详解其核心组件和使用方法
首席技术总监的专栏
09-13 1280
Prism 库是一个强大的工具和库,可以帮助开发者构建具有高可扩展性和可测试性的应用程序。它提供了模块化架构、依赖注入和命令模式等诸多功能,并且提供了良好的文档和社区支持。但是,对于小型应用程序来说,使用 Prism 库可能会过于复杂,需要考虑到开发的规模和需求来决定是否使用 Prism。
微软数据库的SQL注入漏洞解析——Microsoft Access、SQLServer与SQL注入防御
CoffeMilk的博客
09-12 1932
一般进行SQL注入前,都需要对这些数据库所对应的程序寻找注入点,常见的SQL注入点一般存在于参数输入、输出的位置(如:注册登录、不同页码、参数内容的数据查询、不同页面切换、留言版等内容)。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9037
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3584
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7092
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1734
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2705
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4161
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4643
在进行推箱子的实验中,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程中,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...
关于Dubbo的mock=true降级无法调用降级类ServiceMock的解决方案
weixin_45754452的博客
02-25 1450
问题 消费者使用mock=“true”,想调用TestServiceMock进行服务降级无法调用 原因 我的项目结构如下,首先要知道服务降级代码应该是谁执行的,服务降级是服务消费者也就是controller包处对应的服务执行的,因为我只是测试dubbo怎么使用,所以并没有分多模块,但完全可以把一个包理解为一个模块,再看下面配置文件 为什么可以把一个包当成一个模块呢,因为我把配置文件的scan改成controller包然后启动一个服务器,即消费者,如果把scan改成service则可以启动服务提供者服务器
Vue---Vue基础
前端与计算机相关知识的分享,博主的qq523235674
02-25 1465
一.Vue概述 二.Vue的基本使用 2.1Vue.js之hello world 基本实例 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <title>Document</title> </.
如此优秀的JS轮播图,写完老师都沉默了
陈新科的博客
02-17 5945
雷迪森安的乡亲们,欢迎来到老实人的前端课堂,今天我们来写个骚气磅礴的轮播图吧,内容太干,建议收藏起来慢慢看,最后我还会教大家如何免费部署上线哦~ 正片 小轮播图滑动滚播,好不好看你说了算。 结构就两行 <div id="main"> <h1>something</h1> <div class="content"> <p>You can press <kbd>▲</kbd> <kbd&
TCP/IP网络编程---Linux系统下的TCP套接字编程
xxyneymar的博客
02-21 4448
目录 第一章 理解网络编程和套接字 1.1 网络编程和套接字概要 1.2 基于Linux的文件操作 1.2.1 底层文件访问和文件描述符 1.2.2 打开文件 1.2.3 关闭文件 1.2.4 将数据写入文件 1.2.5 读取文件中的数据 第二章 套接字类型与协议设置 2.1 套接字协议及其数据传输特性 2.1.1 关于协议 2.1.2 创建套接字 第三章 地址族与数据序列 3.1 分配给套接字的IP地址与端口号 3.1.1 网络地址 3.1.2 用于区分套接字的端口号 3
Worm.wantjob.57345 “求职信”手工清除的方法
05-11
Worm.wantjob.57345 是一种恶意软件,它会通过电子邮件或其他方式传播,尝试感染您的计算机。如果您的计算机已经感染了这种恶意软件,您可以采取以下步骤手动清除它: 1. 关闭所有正在运行的程序和文件,并断开与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值