昨天去给财务科装个补丁,今天当要用U盘时,发现打不开了,显示是什么记不清楚了.好象是缺少什么驱动.心想坏了,中毒了。于是用卡巴斯基查,结果发现,U盘内的所有图片文件,和文件夹,都变马了带.exe的文件了。如:virus.vbs.agent.ah K:/vbs worm.win32.AutoRun.ehw K:/u.exe及其它带文件名的exe文件。清除后,恢复。
相关资料:
明显的关闭CMD,注册表,进程管理器了,平时是很正常的
此病毒通过U盘等储存器和网络传播。病毒运行后,在%SystemRoot%/目录和%SystemRoot%/System32/目录下生成以当前用户名命名的vbs脚本文件和ini文件,还会在各磁盘根目录下生成同样的vbs脚本文件和,autorun.inf文件。这些vbs文件都是病毒的复制品,病毒将其设置为当用户双击打开盘符或点右键选择资源管理器时运行。同时病毒将自己设置为txt,hlp,chm,reg等类型文件的关联程序,当用户双击打开这些类型的文件时,都会执行病毒程序。
U盘病毒autorun.vbs Virus.VBS.Agent.a分析报告及清除方式
综述:这是一个VBS脚本病毒,它会修改VBS文件的默认图标为Word图标,同时在U盘中搜索word文档,并生成一个同名的VBS文件,使不显示文件名后缀,迷惑性较大.如下图:
这是因为它修改了以下的注册表项
HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache
C://WINDOWS//System32//wshext.dll,-4802=Microsoft Word 文档
C://WINDOWS//System32//wshext.dll,-4802=文本文件(这条没有实现)
具体分析:
生成文件:
C:/WINDOWS/system32/USBDRIVE.dll 19606 14792
C:/WINDOWS/system32/doc.reg
C:/WINDOWS/system32/vbs.reg
X:/autorun.inf
X:/autorun.vbs
X:/vbs.reg
X:/doc.reg
X:/恋爱的日子(日记).vbs(这个VBS名是随机的,它可以是以下名称:检查.vbs,2007总结.vbs,违纪人员.vbs,这是什么?内幕.vbs,黑名单.vbs,没有发出的情书.vbs,恋爱的日子(日记.vbs)
修改注册表:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
USBDRIVE.dll=C:/WINDOWS/system32/USBDRIVE.dll
HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache
C://WINDOWS//System32//wshext.dll,-4802=Microsoft Word 文档
C://WINDOWS//System32//wshext.dll,-4802=文本文件
手动查杀方法:
结束进程:Wscript.exe
删除以下文件(注意进入磁盘时请从运行里进行,比如进入C盘就在运行里输入C:/)
C:/WINDOWS/system32/USBDRIVE.dll C:/WINDOWS/system32/doc.reg
C:/WINDOWS/system32/vbs.reg
X:/autorun.inf
X:/autorun.vbs
X:/vbs.reg
X:/doc.reg
X:/恋爱的日子(日记).vbs(这个VBS名是随机的,它可以是以下名称:检查.vbs,2007总结.vbs,违纪人员.vbs,这是什么?内幕.vbs,黑名单.vbs,没有发出的情书.vbs,恋爱的日子(日记.vbs)
删除注册表项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/USBDRIVE.dll
修改注册表项:
HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache
@C:/windows/System32/wshext.dll,-4802=VBScript Script File
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
