瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » wuaucll.exe(或driver.exe)的查杀
baohe - 2006-12-23 16:08:00

周末了。
蟊贼们又纷纷出动作祟了。
今天,俺又收到一个瑞星19.02.42查不到的木马(别人求救发过来的)。

一、这蟊贼的特点是:
1、植入系统并成功运行后,更改.exe文件关联。中招后,用户运行任何.exe程序,都将激活木马wuaucll.exe。用SREng在WINDOWS模式下不能修复.exe文件关联!
2、wuaucll.exe和driver.exe双进程,互相守护。
3、植入系统后wuaucll.exe反复不停的写木马文件及其加载项(很俗)。
4、如果你在WINDOWS模式急急忙忙地将木马文件删除的干干净净,而没成功地修复exe文件关联,重启后,你就傻了!虽然可以更改SREng的后缀来运行SREng,但还是无法用其修复.exe文件关联。您的所有.exe程序无法运行。

二、手工处理流程:

1、启动到安全模式下。
2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

3、运行IceSword 1.2。用IceSword 1.2禁止进线程创建。
4、用IceSword 1.2结束下列进程:
C:\WINDOWS\wuaucll.exe
C:\WINDOWS\SYSTEM32\driver.exe
5、用IceSword找到并删除这些木马文件(图)。取消IceSword的“禁止进/线程创建”。
6、双击Fix.reg,将其导入注册表。

【注意】:如果你的电脑还有E、F....等分区,这些分区根目录下也有autorun.ini和update.exe,也要删除。




附件: 15584720061223155944.jpg
爬围墙上青天 - 2006-12-23 16:09:00
沙发`坐下看``
dumps - 2006-12-23 16:15:00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
这一项的作用还不太了解..

IS启动不了.说程序初始化失败.错误代码1 ,为何?
爬围墙上青天 - 2006-12-23 16:17:00
2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。    要不要放入注册表啊?``
baohe - 2006-12-23 16:20:00
引用:
【dumps的贴子】[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
这一项的作用还不太了解..

IS启动不了.说程序初始化失败.错误代码1 ,为何?
………………

IS 1.2可以在安全模式下正常运行。
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"————系统默认的exe文件关联。

那个木马将这项改成了@=wuaucll.exe,"\"%1\" %*"
UFO不幸外人 - 2006-12-23 16:20:00
【回复“dumps”的帖子】那个是修改EXE关联用的。


猫叔,能把病毒发给我么,我也想试验一下,还有19.02.42查不出来的病毒好多,我手里也有一些,猫叔是否感兴趣
我的邮箱:1987noodle0158@sina.com
水树雨下 - 2006-12-23 16:20:00
学习,又一个让人头大的马
taylor05771 - 2006-12-23 16:21:00
这年头.............
baohe - 2006-12-23 16:22:00
引用:
【爬围墙上青天的贴子】2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。    要不要放入注册表啊?``
………………

最后再双击这个Fix.reg,将其中内容导入注册表。
UFO不幸外人 - 2006-12-23 16:23:00
木马太多了,灰鸽子也加入更多的保护,我这里有一个

至于其他的木马么,哎,杀毒软件越来越落后了
baohe - 2006-12-23 16:25:00
引用:
【UFO不幸外人的贴子】【回复“dumps”的帖子】那个是修改EXE关联用的。


猫叔,能把病毒发给我么,我也想试验一下,还有19.02.42查不出来的病毒好多,我手里也有一些,猫叔是否感兴趣
我的邮箱:1987noodle0158@sina.com

………………

已转发
dumps - 2006-12-23 16:26:00
baohe,ufo,谢谢呵
UFO不幸外人 - 2006-12-23 16:27:00
谢谢猫叔。
百事口乐 - 2006-12-23 17:58:00
学习了``努力中``
猪知山 - 2006-12-23 18:22:00
最近都没怎么碰电脑。。。
安全防卫 - 2006-12-23 19:20:00
学习中
spiritfire - 2006-12-23 19:25:00
学习了! 唉,强马如云啊!
鸟儿天上飞 - 2006-12-23 21:31:00
现在的病毒怎么都流行在D,E,F 添加文件 汗
有一个 就有百个  谁想出来的 现在的毒 已经不只局限于格式化C了
还让偶以后怎么上网找东西,,,,
thull - 2006-12-23 21:34:00
准确地说这年头居心叵测的人太多了 其实感觉用木马偷别人的帐号和那些扒手没什么区别
媚惑宠儿 - 2006-12-23 22:42:00
不懂啊
恨挂病毒 - 2006-12-24 11:33:00
今天才看见...原来我的电脑也中了这个病毒了`~~55555555555555
我怎么这么可怜~~~
可是...我太笨了..版主讲的这些我都不明白~~~
天啦~~~我应该怎么杀掉它呀~~~~命苦呀~~~
能不能再讲得通俗一点呀~~~
波萝蜜000 - 2006-12-24 11:47:00
呵呵!!!
丨佐掌纹丶 - 2006-12-24 12:28:00
我就是中了这个了。。
郁闷死!
u盘借给我专业老师了,他还给我的时候里面就有这个。。
丨佐掌纹丶 - 2006-12-24 13:06:00
刚发现,我中的不是这个。。。
老大,我中的是 
也是重新启动后还有,
瑞星也升级到19 02 42 了

附件: 80937020061224133009.jpg
闪电风暴 - 2006-12-24 15:10:00
学习了
与时拒进 - 2006-12-24 15:29:00
学——习
salinama - 2006-12-24 18:32:00
又是这些,真的杀不净呀
lt010 - 2006-12-25 9:31:00
有瑞星在,咱机子啥也没毛病
afkp4e7 - 2006-12-25 10:21:00
aikakaka - 2006-12-25 13:46:00
IS 1.2可以在安全模式下正常运行!
猫叔,这个我可要实试。哪里有1.2下阿?
变态的变种病毒……
这一阵子这病毒,都是借助移动设备来进行交叉感染的,恶心死了……
12
查看完整版本: wuaucll.exe(或driver.exe)的查杀
© 2000 - 2026 Rising Corp. Ltd.