瑞星卡卡安全论坛

这玩意 正奇 写过了..http://hi.baidu.com/hzqedison/blog/item/0b4cf3de0787c95494ee3742.html

但是他测漏了..我重新写个查杀..偷点他的玩意...

系统症状
每次双击盘符出现一个新窗口
windows任务管理器出现了一个Excel的程序
鼠标右键点盘符出现"Auto"字样

系统症状
每次双击盘符出现一个新窗口
windows任务管理器出现了一个Excel的程序
鼠标右键点盘符出现"Auto"字样





无法显示隐藏文件
无法取消或者钩选 隐藏已知文件类型的扩展名

样本信息
File size: 49152 bytes
MD5: d88f7c6c15585404c30c92a11c429c36
SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e
文件属性为隐藏

样本命名
Kaspersky--Trojan.Win32.VB.atg
瑞星--Trojan.VB.vtj

样本分析
注册表中添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[BSserver]FileKan.exe

修改注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
[CheckedValue] 被清空..

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
[UncheckedValue] 被修改为 1

释放文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\windows\ufdata2000.log

每个盘符下释放
AUTORUN.INF
tel.xls.exe

AUTORUN.INF文件内容
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkf

解决方案
1.Ctrl + Alt + Del 打开任务管理器
结束应用程序中的Excel





2. 删除文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\windows\ufdata2000.log

3. 删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[BSserver]FileKan.exe

4.恢复显示所有的文件项
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
[UncheckedValue]  双击 从 1 改回 0

5.右键=>打开进入每个盘符 依次删除每个盘符里的文件
AUTORUN.INF
tel.xls.exe

学习
明天再看
好困啊
威金明天晚上给你发俩

恩,正奇的BLOG我也常去转转的

tel.xls专杀-Trojan.Win32.VB.atg

感谢hzqedison，mopery，tkabc，kvirus，bbiverson,1-response等人的帮助。

我的邮箱：xiaohuangran@yahoo.com.cn

奔雷论坛            -2006.10.32(2006.11.1)www.ccfox.net8u       

下载地址：http://www.ccfox.net/tel killer.rar





原帖地址:http://www.ccfox.net/viewthread.php?tid=2921&extra=page%3D1

学习了

专杀第一时间已经偷出来了。。嘿嘿，跟着阿奔混去了

M和正奇一样，有时“不拘小节”。
这不，“无非显示隐藏文件”这个错别字，正奇错了，M跟着错。
还有，是“无法隐藏已知文件类型的扩展名”，还是无法取消隐藏？

引用:

【轩辕小聪的贴子】M和正奇一样，有时“不拘小节”。 这不，“无非显示隐藏文件”这个错别字，正奇错了，M跟着错。 还有，是“无法隐藏已知文件类型的扩展名”，还是无法取消隐藏？ ………………

我复制他的.. 汗..

学习了...

学习了````我们学校网线被老师关掉````可惜啊``不燃就做几个实验```````

学习了

杀毒软件是不是自己做的啊?

MS我同学的U盘中了这个
可是我当时看windows任务管理器并没有出现Excel的程序啊
其它证状都一样

我的学校也有这个...不过已经被我杀了,呵呵,版主A的解决方法完善,学习了

mo，我在网络上的名字看来要统一一下了。。。。


killvir
killvirus
kvirus

没中过,学习了

我朋友的MP3中过,但是插在电脑上电脑其他盘双击还是可以的,就是MP3是点鼠标右键打开才可以开,windows任务管理器并没有出现Excel的程序啊

支持 希望能教下 是如何发现释放了什么文件的

用什么工具？

我的机器刚重了这个病毒，我只是把各盘符下的文件删了，现在看来还有很多事要做啊。

我的机器刚重了这个病毒，我只是把各盘符下的文件删了，现在看来还有很多事要做啊。

lu路过，学习~

学习~~~

举一反三啦~~

嘿嘿~

大家好啊！我有个病毒很难杀掉！想请大家帮帮吗？

我这个病毒的名字叫（Trojan.DL.Agent.xdw ）
请问大家怎么杀

第１个帖子，来支持下

这个没见过啊，不过类似的见了不少啊，ＲＯＳＥ的比较多，最近有个ＣＯＰＹ．ＥＸＥ的毒的，我也不大懂啊．
和这个ＸＬＳ．ＥＸＥ类似，它在每个盘都有感染，也是右键有ＡＵＴＯ和自动运行
它的总共文件有autorun.inf+copy.exe+host.exe
并且在任务管理器中可见temp1.exe或temp2.exe的进程．
我在安全模式下，ＤＯＳ状态下删除了那３个文件后，有的电脑重起了还有，估计注册表里也有东西要删除（我不懂注册表啊）
请教高手啊，这个怎么杀啊？
好象这个毒很多啊

暂时还没遇上，学习了

好楼主呀！我正好昨天中了这个毒，发了帖子不知道怎么办呢~~~ 楼主真是拯救了万千的学生菜鸟们啊！！！我想转帖到我们学校去~ 不知可不可以啊？~~

我找不到注册表 你说的 路径呀

学习了