spec.fne病毒

 

      最近一段时间上网,开机不久avast就报警说有病毒,仔细一看是什么和易语言库文件spec.fne有关的东西,于是没有深究就选择删除操作,但是每次avast都是删除失败。次数多了,于是查看一下进程表发现可疑进程

XP-63E83BEB.EXE,上网一搜索才知道果然有病毒。

      这是一种广告木马病毒,也是文件图标病毒,同样具有Autorun属性。该病毒是用易语言编写,运行后会在系统目录system32下生成类似XP-63E83BEB.EXE的病毒副本,其中63E83BEB是随机的,并搜索移动设备,生成autorun文件,并根据移动存储设备根目录文件夹名生成同名EXE文件,并将原文件夹隐藏起来。另外病毒还会删除临时文件及Cookies,删除IE访问记录TypedURL。

 

感染以后的表现:

生成文件(以系统盘为C盘,winxp Sp3为例,U:/代表U盘盘符)

C:/WINDOWS/system32/XP-63E83BEB.EXE
C:/WINDOWS/system32/ul.dll
C:/WINDOWS/system32/og.dll
C:/WINDOWS/system32/com.run
C:/Documents and Settings/guoguo/「开始」菜单/程序/启动/   .lnk 指向C:/WINDOW
S/system32/XP-63E83BEB.EXE(注意空格,XP-63E83BEB.EXE是隐藏文件夹图标的名字)


以下是生成的易语言库文件:

C:/WINDOWS/system32/dp1.fne
C:/WINDOWS/system32/eAPI.fne
C:/WINDOWS/system32/internet.fne
C:/WINDOWS/system32/krnln.fnr
C:/WINDOWS/system32/RegEx.fnr
C:/WINDOWS/system32/shell.fne
C:/WINDOWS/system32/spec.fne

U:/autorun.inf

U:/Recycled.exe

在U盘根目录生成文件夹图标同名EXE文件,并将原文件夹隐藏起来。

 

添加注册表启动项:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
XP-63E83BEB(这里也是随机的,根据病毒名生成的不同而变)

查杀方法:

1。下载最新的usbcleaner,并运行其中的foldercure.exe (文件夹图标病毒扫描器)。

 

2手动查杀:结束进程

XP-63E83BEB.EXE(注意名称不固定)

依次删除

C:/WINDOWS/system32/ul.dll 2,404
C:/WINDOWS/system32/og.dll 692
C:/WINDOWS/system32/com.run 270,336
C:/Documents and Settings/guoguo/「开始」菜单/程序/启动/   .lnk 指向C:/WINDOW
S/system32/XP-8B618895.EXE(注意空格)

以下是易语言的库文件等:
C:/WINDOWS/system32/dp1.fne
C:/WINDOWS/system32/eAPI.fne
C:/WINDOWS/system32/internet.fne
C:/WINDOWS/system32/krnln.fnr
C:/WINDOWS/system32/RegEx.fnr
C:/WINDOWS/system32/shell.fne
C:/WINDOWS/system32/spec.fne

删除病毒启动项

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

XP-8B618895(此处根据病毒名称而定)

手动删除U盘根目录的文件夹图标同名EXE文件即可!

PS:参考了网上类似资源,实际动手操作一边,证明是有效地,纠正的了相关的步骤!共享是王道!

你可能感兴趣的:(计算机病毒,exe,语言,c,cookies,system,存储)