首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> auto病毒专杀 >> 阅读资讯:auto.exe病毒的破坏手段及解决方案

auto.exe病毒的破坏手段及解决方案

[ 作者: | 更新日期:2007-8-9 14:54:10 | 阅读次数: ]

破坏方法:

VB写的病毒,一旦运行,病毒将复制自己到如下目录<以win98为例,其它系.统也在相应目录>:

C:\AUTORUN.INF
C:\WINDOWS\AUTO.EXE
C:\AUTO.EXE
C:\PROGRAM FILES\AUTO.EXE
C:\WINDOWS\ALL USERS\DESKTOP\SYSBOY.EXE
C:\WINDOWS\ALL USERS\START MENU\PROGRAMS\启动\AUTO.EXE
C:\WINDOWS\DESKTOP\SYSGRIL.EXE
C:\WINDOWS\START MENU\PROGRAMS\启动\AUTO.EXE

修改注册表如下:

HKLM\\Software\Microsoft\Windows\CurrentVersion
\Run
"%CURDIR%\SYSBOY.exe"

HKLM\\Software\Microsoft\Windows\CurrentVersion
\Run\Explorer
"C:\auto.exe"

HKLM\\Software\Microsoft\Windows\CurrentVersion
\RunServices\Explorer
"%CURDIR%\SYSBOY.exe"

HKLM\\Software\Microsoft\Windows\CurrentVersion
\RunServices\Systry
"C:\Program Files\auto.exe"

HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonce\Systry
"%CURDIR%\SYSBOY.exe"

HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonce\Systryt
"D:\auto.exe"

HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonceex\Systryt
"%CURDIR%\SYSBOY.exe"

HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runservicesonce\rundll32
"%CURDIR%\SYSBOY.exe"

HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runservicesonce\rundll64
"%CURDIR%\SYSBOY.exe"

HKCU\\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION
\POLICiES\SYSTEM\disableregistrytools
0x313131 -->禁止使用注册表工具

HKLM\\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION
\POLICiES\EXPLORER\nofolderoptions
0x313131 -->禁止打开文件夹选项

HKCU\\Software\Microsoft\Windows\CurrentVersion
\Policies\winoldapp\norealmode
0x313131 -->禁止进入实模式

HKCU\\Software\Microsoft\Internet Explorer
\Main\start page
" http://xxxwwwjjjhd.20forfree.com" -->修改IE默认页

HKCU\\Software\Microsoft\Internet Explorer
\Main\first home page
" http://xxxwwwjjjhd.20forfree.com" -->修改IE默认页

HKLM\\Software\CLASSES\Directory\shell
\Winamp.Play\first home page
"用 Winamp 播放(&p)"

HKLM\\Software\CLASSES\Directory\shell
\Winamp.Play\command\first home page
"C:\WINDOWS\auto.exe"

HKLM\\Software\CLASSES\Directory\shell
\Winamp.Enqueue\first home page
"加入 Winamp 队列(&E)"

HKLM\\Software\CLASSES\Directory\shell
\Winamp.Enqueue\
command\first home page
"C:\auto.exe"

HKLM\\Software\CLASSES\Directory\shell
\Winamp.Bookmark\first home page
"添加到 Winamp 的书签清单中(&B)"

HKLM\\Software\CLASSES\Directory\shell
\Winamp.Bookmark\
command\first home page
"D:\auto.exe"


HKCR\\txtfile\shell\open\command\first home page
"%CURDIR%\SYSBOY.exe"

HKCR\\swffile\shell\open\command\first home page
"C:\auto.exe"

HKCR\\mp3file\shell\open\command\first home page
"D:\auto.exe"

HKCR\\dllfile\shell\open\command\first home page
"E:\auto.exe"

HKCR\\htmfile\shell\open\command\first home page
"%CURDIR%\SYSBOY.exe"

病毒也将自动连接网站:

http://***xxxwwwjjjhd.20forfree.com
这是一种使用网络非法传播来骗钱的病毒,即所谓的“第四传媒”-->以病毒的形式散布网站信息,为自己作广告。

病毒运行后将在系统的右下角显示一个圆形窗口,点击后将弹出矩形窗口,显示广告信息,如发现此病毒,建议使用防火墙禁止135端口。

清除办法:

1、结束病毒相关的进程;

2、根据上面的分析删除所有病毒相关的文件,如果遇到不能删除的文件,则使用冰刃等强制删除软件进行删除;

3、按照上面分析的注册表,一一删除;

4、重新启动计算机,应该就无问题了。

 


Tags:auto 病毒
来源:
上一篇:1.exe 通过IFEO劫持游戏程序盗号  下一篇:auto.exe病毒手工免疫方法
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

     

最新资讯

随机推荐