Auto.exe ``
一个下载器```没什么特殊的``简单写了
最近貌似很流行```
Aditional Information
File name: Auto.exe
File size: 18215 bytes
CRC32 : AC9BE9A7
MD5: f21c33d66bccde144a41ccabd32c2606
SHA1: f56131a1f4b2af393c36ea56794293a093b8138f
SHA160 : F56131A1F4B2AF393C36EA56794293A093B8138F
packers: NSPack, PE_Patch
Languages:Delphi
运行``首先检测AVP.exe和卡吧的窗口,如有找到,则释放批处理,修改日期````
修改为2005-01-18```直接挂掉卡吧。。。(未验证)
后释放:
%systemroot%\system32\7DBC4CD0.EXE
18215 字节
(注册为系统服务)
%systemroot%\system32\83AA9DB8.DLL
11888 字节
83AA9DB8.DLL使用远程创建线程技术插入动态进程```
都是8位随机的数字,所以每个电脑上病毒名字都不一样,清除起来比较麻烦``
不确认的话对照文件大小``
18215 字节和
11888 字节
后连接外部下载一大推乱七八糟的木马```
(穿防火墙,并绕过SSM的ND!)
83AA9DB8.DLL驻宿主,监视自身同党的存在``并检测移动介质的介入```
尝试在移动盘下生成Autorun.inf 和Auto.exe,Autorun.inf 内容:
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
解决方法:
[url]http://gudugengkekao.ys168.com/[/url]下载:
sreng2.5.zip 780KB
冰刃(增强版).rar 555KB
后关闭不必要的进程``断开网络`` 完成下面之前不要进入C-F盘!
1、首先打开冰刃,文件―设置―禁止进线程创建―确定,然后用冰刃的“文件功能”删除:
(如果进程里看见的话,最好先用冰刃关闭``)
C:\Autorun.inf
C:\auto.exe
D:\Autorun.inf
D:\auto.exe
E:\Autorun.inf
E:\auto.exe
F:\Autorun.inf
F:\auto.exe
C:\Windows\AVPSrv.exe
C:\Windows\cmdbcs.exe
C:\Windows\MsIMMs32.exe
C:\Windows\WinForm.exe
C:\Windows\system32\$$a.bat
C:\Windows\system32\7DBC4CD0.EXE(随机数字,每台机都不一样)
C:\Windows\system32\83AA9DB8.DLL(随机数字,每台机都不一样)
C:\Windows\system32\AVPSrv.dll
C:\Windows\system32\cmdbcs.dll
C:\Windows\system32\delme.bat
C:\Windows\system32\k11839413402.exe
C:\Windows\system32\k11839413424.DAT
C:\Windows\system32\k11839413424.exe
C:\Windows\system32\k11839413446.exe
C:\Windows\system32\k11839413478.exe
C:\Windows\system32\k118394134910.exe
C:\Windows\system32\k118394135212.exe
C:\Windows\system32\mosou.exe
C:\Windows\system32\MsIMMs32.dll
C:\Windows\system32\nslookupi.exe
C:\Windows\system32\nwizdh.exe
C:\Windows\system32\nwizqjsj.exe
C:\Windows\system32\nwizwlwzs.exe
C:\Windows\system32\nwizzhuxians.exe
C:\Windows\system32\Packet.dll
C:\Windows\system32\WanPacket.dll
C:\Windows\system32\WinForm.dll
C:\Windows\system32\wpcap.dll
C:\Windows\system32\drivers\npf.sys(删前这个最好先备份)
2、重设冰刃,去掉“进线程创建”―确定。打开SREng,删除:
注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<AVPSrv><C:\winnt\AVPSrv.exe> []
<WinForm><C:\winnt\WinForm.exe> []
<MsIMMs32><C:\winnt\MsIMMs32.exe> []
<cmdbcs><C:\winnt\cmdbcs.exe> []
<AVPSrv><C:\winnt\AVPSrv.exe> []
<WinForm><C:\winnt\WinForm.exe> []
<MsIMMs32><C:\winnt\MsIMMs32.exe> []
<cmdbcs><C:\winnt\cmdbcs.exe> []
服务:
[B9A34AC4 / B9A34AC4][Stopped/Auto Start]
<C:\winnt\system32\7DBC4CD0.EXE -k><Microsoft Corporation>
<C:\winnt\system32\7DBC4CD0.EXE -k><Microsoft Corporation>
3、重启电脑```修改QQ、邮箱等密码。。。
如果有删除不掉的,在我网盘再下载个PowerRMV。。。。
