Win32.AutoRun.ACL病毒怎么查杀
答案:4 悬赏:70 手机版
解决时间 2021-07-21 00:39
- 提问者网友:斑駁影
- 2021-07-20 15:37
我的可移动磁盘中了Win32.AutoRun.ACL这样的一个病毒,格式化了还是没有用,在磁盘里面它会自动生成一些文件,
最佳答案
- 五星知识达人网友:愁杀梦里人
- 2021-07-20 16:18
病毒名称: Worm.Win32.AutoRun.qxz
病毒类型: 蠕虫
危害等级: 4
病毒描述 该病毒为蠕虫类,病毒运行后查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并在该窗口捕获消息,获取进程句柄修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,衍生病毒文件llwzjy081019.exe、mvjaj32dla.dll到%System32%目录下,修改注册表项使设置显示隐藏文件失效,添加注册表启动项,并在%Documents and Settings%\All Users\目录下创建配置文件jjjydf16.ini存放衍生的病毒路径,开启iexploe.exe进程连接网络,病毒会不定期下载病毒文件更新自身。 行为分析 本地行为
1、查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并在该窗口捕获消息。
2、获取进程句柄修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭。
3、文件运行后会释放以下文件,病毒全部为随机病毒名
%system32%\llwzjy081019.exe
%system32%\mvjaj32dla.dll
%Documents and Settings%\All Users\jjjydf16.ini
4、修改注册表、添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL\CheckedValue
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使设置显示隐藏文件失效
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\dlnajjbdfa
值: 字符串: "C:\WINDOWS\system\llwzjy081019.exe"
描述:添加病毒开机启动项
网络行为
连接以下网站
http:// www.ya****.cn/mydown.asp?ver=081019&tgid=1&address=00-0C-29-8C-9D-B6
注:已失效
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是%system32% [编辑本段]清除方案 1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool管理工具。
(1)使用ATOOL“进程管理”找到iexplore.exe进程关闭该进程。
(2)恢复注册表、删除病毒启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL\CheckedValue
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
恢复注册表旧值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\ dlnajjbdfa
值: 字符串: "C:\WINDOWS\system\llwzjy081019.exe"
删除run键下的dlnajjbdfa键值
(3)删除病毒添加的注册表启动项
%system32%\llwzjy081019.exe
%system32%\mvjaj32dla.dll
%Documents and Settings%\All Users\jjjydf16.ini
或打开%Documents and Settings%\目录下的jjjydf16.ini文件,按病毒绝对路径将病毒文件全部删除
病毒类型: 蠕虫
危害等级: 4
病毒描述 该病毒为蠕虫类,病毒运行后查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并在该窗口捕获消息,获取进程句柄修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,衍生病毒文件llwzjy081019.exe、mvjaj32dla.dll到%System32%目录下,修改注册表项使设置显示隐藏文件失效,添加注册表启动项,并在%Documents and Settings%\All Users\目录下创建配置文件jjjydf16.ini存放衍生的病毒路径,开启iexploe.exe进程连接网络,病毒会不定期下载病毒文件更新自身。 行为分析 本地行为
1、查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并在该窗口捕获消息。
2、获取进程句柄修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭。
3、文件运行后会释放以下文件,病毒全部为随机病毒名
%system32%\llwzjy081019.exe
%system32%\mvjaj32dla.dll
%Documents and Settings%\All Users\jjjydf16.ini
4、修改注册表、添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL\CheckedValue
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使设置显示隐藏文件失效
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\dlnajjbdfa
值: 字符串: "C:\WINDOWS\system\llwzjy081019.exe"
描述:添加病毒开机启动项
网络行为
连接以下网站
http:// www.ya****.cn/mydown.asp?ver=081019&tgid=1&address=00-0C-29-8C-9D-B6
注:已失效
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是%system32% [编辑本段]清除方案 1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool管理工具。
(1)使用ATOOL“进程管理”找到iexplore.exe进程关闭该进程。
(2)恢复注册表、删除病毒启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL\CheckedValue
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
恢复注册表旧值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\ dlnajjbdfa
值: 字符串: "C:\WINDOWS\system\llwzjy081019.exe"
删除run键下的dlnajjbdfa键值
(3)删除病毒添加的注册表启动项
%system32%\llwzjy081019.exe
%system32%\mvjaj32dla.dll
%Documents and Settings%\All Users\jjjydf16.ini
或打开%Documents and Settings%\目录下的jjjydf16.ini文件,按病毒绝对路径将病毒文件全部删除
全部回答
- 1楼网友:低音帝王
- 2021-07-20 19:56
在重启时按F8,进入安全模式1.使用Windows清理助手 http://www.17ai.org/xt/arswp.htm 如果不行就继续 2.使用瑞星卡卡上网安全助手 http://www.17ai.org/qt/kaka.htm 运行“系统启动项管理”、“已知动态连接库” 找到“wowrrg68.dll”和“tj3nqrcy.dll”,右键选“删除当前选中的项” 3.VundoFix V6.5.10 汉化绿色免费版 http://www.17ai.org/xt/tool.htm 找出隐藏劫持系统文件 DLL并安全清除 4.推荐你使用最好的木马专杀软件 免费的、汉化的AVG Anti-Spyware7.5.1.43 http://www.17ai.org/qt/avg.htm
谢谢采纳,祝您天天开心(^-^)!
- 2楼网友:不甚了了
- 2021-07-20 19:11
用360的顽固木马专杀试下,应该可以的,不行再来
- 3楼网友:夜余生
- 2021-07-20 17:31
那自动生成文件时不是Aut..什么的? 是的话就用卡巴斯基杀, 其他很多杀毒都没用
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯