rock827
级别: 绿色
精华:
0
发帖: 636
威望: 3 点
金钱: 1265 RMB
贡献值: 0 点
在线时间:70(小时)
注册时间:2007-09-12
最后登录:2008-10-13
|
如何查杀auto
auto.exe这个病毒是通过autorun.inf这个文件来传播,也就是大家所熟悉的“U盘寄生虫”病毒。这个病毒的运行能够导致计算机无法显示隐藏文件,手动无法修改注册表内容,所以必须借用一些工具来进行操作。本次操作使用的病毒分析工具是冰刃(IceSword)。用户可以在百度搜索这个工具并下载使用。下面以kv2008为例详细说下。 `iZ)�{JfAH
Vm]xV_FO�d
打开冰刃之后点一下下面的文件,然后点击其中的一个盘符,以我们的实例就点C盘。 ��9%&��
=n
�ZF�F�K��v
 '?O_(�%3F0
如图可以看到D盘目录下有auto.exe,实际上应该还有一个autorun.inf文件,这是因为开着监控已经把autorun.inf文件删除,所以在这里不显示.
|�)[I$]�L
$_Kc�m
"oj
 �);!IGcg�F
右键点auto.exe,然后点复制,会弹出对话框,在里面输入名字。我们在实例里面输入auto.exe,把它弄到桌面上了,并且不是隐藏的文件。 oU)Hco�"_k
z�~(�$
"�
 #��<o=�W#[
打开杀毒软件主界面(如果是简洁操作台窗口,那么就点一下最小化按钮,即右上角最左边的按钮)。找到工具-》未知病毒检测-》编辑样本库 qx�� f�8f�
]�r�S:#�LK
 A�81'�ca/�
添加样本有两个方法: 一是直接把文件拉到样本库里面,二是点新建样本去找样本添加。 *o}7&Hw#9f
]�9lR:V
sw
 yB5J�vD �?
之后点工具-》未知病毒检测-》扫描样本库,这样可以扫描出与样本一样的文件,即是与auto.exe一样的文件。 S.R|Bwj}(Y
1a79]�-j��
 A/TCJ#�>l�
这里需要注意的是:不光扫描出各个盘符下的auto.exe,还能扫描出一个C:\WINDOWS\system32下的八位随机字符的文件,最近发现新变种的auto.exe释放的都是这样的文件,如果只手动删除auto.exe的话,隔一会儿auto.exe还是会被释放出来(不做任何操作也会出来)。 3XSfXS{lwP
 .r�~M�7 I
点杀毒就会把所有扫描出来的样本删除(注:这个操作是没有备份的,所以最好之前就把auto.exe提取出来作为上报之用)。 �FjV)Q�P H
之后强烈建议大家用一下工具里面的安全助手/流氓软件清除功能清理一下恶意软件。 G�Q��\;f��
最后进入windows和system32文件夹,把所有创建日期和修改日期为最近的exe和dll文件提取出来,看看杀毒软件能否杀到,不能杀到的文件就压缩发到virus@jiangmin.com进行上报。(最后用SRENG2.5点启动项目-》服务-》WIN32服务应用程序-》隐藏已认证的微软项目-》找到那个八位随机字符的服务,把它删除。)
|
|
|
|
[楼 主]
|
Posted: 2008-05-29 12:48 |
| |
五颜六色论坛 -> 电脑学校 -> 如何查杀auto
