实战avp.exe病毒
自己算是被这个东西折腾怕了,到目前为止算是全部清除,但是终究还是不知道什么时候感染的,估计是前两天下了一段VB的源代码,之后感染的;据网上某些人的说法,不安装VB的人是可以避免这个讨厌的东西的,因为其借助VB下msvbm60.dll来启动C盘根目录下的avp.exe文件(这个自己做过一个傀儡文件做过试验,如果彻底清除VB,尤其是那个文件之后,avp是无法启动的)
网友们提供的此文件运行机理及杀毒的方法:
病毒行为分析,依顺序为:
1——avp.exe运行后,首先运行应用程序 (Explorer.EXE)
2——修改其它进程内存(iexplore.exe)
3——由iexplore.exe创建病毒文件: c:/Program Files/ver.txt
4——ver.txt创建文件: C:/WINDOWS/system32/wincom.exe
5——wincom.exe安装服务或者驱动(调用services.exe)
6——wincom.exe创建文件: C:/winsys.exe+C:/winsys.inf+C:/winsys.sys
7——wincom.exe运行应用程序 winsys.exe
8——winsys.exe拷贝文件到 C:/WINDOWS/system32/DRIVERS/winsys.sys
9——调用services.exe安装服务或者驱动winsys.sys
10——c:/winsys.exe对注册表进行一系列修改删除创建操作
11——wincom.exe删除文件 C:/winsys.exe+winsys.inf+winsys.sys
12——iexplore.exe创建文件C:/ver.txt
杀毒的方法:(自己的exe文件已经被感染,无力回天)
杀掉进程avp.exe和wincom.exe,再删除以下文件(如果找得到的话):
C:/WINDOWS/system32/wincom.exe
c:/Program Files/ver.txt
C:/WINDOWS/system32/DRIVERS/winsys.sys
C:/winsys.exe
C:/winsys.inf
C:/winsys.sys
C:/ver.txt
C:/avp.exe
可以用SREng工具扫描一份SREngLOG.log报告到一些比较牛的论坛找人帮忙分析
如果exe程序被感染,估计目前是没有什么好的办法来解决,网上推荐两个工具,一个是荣成文件捆绑克星,另一个是木马辅助查找器2005,但是这些基本就是你能看到木马,但是分离不出来。
卡巴斯基7.0可以查出,但是很多还是无法分离,本人自己的exe文件几乎被感染,只能全部删除。
只删除exe文件,其他不用删,自己是学生,周边的同学用的金山杀毒软件差不多都一样,所以删除之后去他们那里拷exe过来,只拷贝这个,然后复制到相应的文件夹,原来的东西还是完全可以使用的,自己不建议格,当然如果电脑里本来就没什么的话最好格式化;但是那些小软件和电子书就只能被删,自己是没有办法,最好就是删除之前备份一份文件名目录,看有什么必须的或者有用的,彻底清除之后再去下载,试图挽救一些损失。
连接:金山词霸
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
