轻松使用U盘，U盘病毒详细介绍

　　terebmi.exe U盘病毒详细介绍

　　病毒表现：

　　在各个盘符里生成autorun.inf、xywrebh.exe两个文件
　　只要用户双击在打开各盘符，那么就自动运行了xywrebh.exe文件
　　在C:\Program Files\Common Files\System下生成terebmi.exe文件;
　　在C:\Program Files\Common Files\Microsoft Shared下生成nuygtvw.exe文件
　　无法打开所有带”病毒”字样的文档
　　无法打开IE(开一会就自动关闭)

　　解决方法：

　　必须在断网的前提下进行。
　　
　　过程如下：

　　首先，我发现的是该病毒没把精锐网吧辅助工具5.7禁用，所以我在其里面的进程管理项目栏里找到了上面那两个病毒的进程名与路径，直接右键选择“终止进程并禁止运行”，之后在限制恢复栏目里点击浏览找到病毒路径，直接选删除文件。并在启动管理项目栏里将病毒启动项清除。
　　使用”eFix--Hidden(恢复系统隐藏文件).reg”示隐藏属性
　　此时，路径病毒已经被清除，但还有残留。用资源管理器找到以下两个路径：
　　C:\Program Files\common files\system和C:\Program Files\Common Files\Microsoft Shared
　　将可疑文件删掉。（主要是terebmi.exe和nuygtvw.exe两个）
　　需要特别注意的是在HOSTS里，将其内容改为
　　# Copyright (c) 1993-1999 Microsoft Corp.
　　#
　　# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
　　#
　　# This file contains the mappings of IP addresses to host names. Each
　　# entry should be kept on an individual line. The IP address should
　　# be placed in the first column followed by the corresponding host name.
　　# The IP address and the host name should be separated by at least one
　　# space.
　　#
　　# Additionally, comments (such as these) may be inserted on individual
　　# lines or following the machine name denoted by a '#' symbol.
　　#
　　# For example:
　　#
　　# 102.54.94.97 rhino.acme.com # source server
　　# 38.25.63.10 x.acme.com # x client host

　　127.0.0.1 localhost

　　即可
　　
　　附：FileFix--Hidden(恢复系统隐藏文件).reg内容（针对XP）

　　Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
　　"Text"="@shell32.dll,-30499"
　　"Type"="group"
　　"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
　　00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
　　48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
　　00
　　"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
　　"Text"="@shell32.dll,-30501"
　　"Type"="radio"
　　"CheckedValue"=dword:00000002
　　"ValueName"="Hidden"
　　"DefaultValue"=dword:00000002
　　"HKeyRoot"=dword:80000001
　　"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
　　"Text"="@shell32.dll,-30500"
　　"Type"="radio"
　　"CheckedValue"=dword:00000001
　　"ValueName"="Hidden"
　　"DefaultValue"=dword:00000002
　　"HKeyRoot"=dword:80000001
　　"HelpID"="shell.hlp#51105"

　　将以上内容复制到记事本中，保存为*.reg格式文件，双击导入注册表即可。

　　ielp.exe U盘病毒详细介绍

　　运行后文件变化
　　各个分区生成autorun.inf 和ielp.exe

　　修改系统时间为2005年1月17日0：00
　　注册表变化
　　修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为 0x00000001
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Type:值为"radio2"
　　破坏显示隐藏文件

　　连接网络下载木马
　　读取http://www.jh177.cn/googel.txt等下载列表文件
　　与%system32%\iehelp.ini进行同步
　　下载列表中的木马文件到%system32%下分别命名为ie_help0.exe~ie_help2.exe

　　木马植入完毕以后生成如下文件
　　%system32%\drivers\svchost.exe
　　%system32%\EXPL0RER.EXE
　　%system32%\iehelp.ini
　　%system32%\ie_help0.exe
　　%system32%\ie_help1.exe
　　%system32%\ie_help2.exe
　　%system32%\SVCH0ST.EXE
　　%system32%\svchcst.exe
　　其中%system32%\SVCH0ST.EXE和%system32%\EXPL0RER.EXE双进程保护

　　对应的sreng日志如下
　　启动项目
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　服务
　　[Windows Aseounts Driver / windownhp][Running/Auto Start]
　　
　　[HTTP Client / HTTP Client][Running/Auto Start]
　　
　　[Automatic Updates / wuauserv][Running/Auto Start]

　　清除办法：

　　1.打开sreng
　　启动项目 注册表 删除如下项目
　　双击shell 把其键值改为Explorer.exe

　　2.重启计算机进入安全模式

　　把下面的代码拷入记事本中然后另存为1.reg文件
　　Windows Registry Editor Version 5.00

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有