1234   1  /  4  页   跳转

U盘上有servet.exe和AutoRun.inf文件

收藏
雅朵
头像
自信弱冠狮
  • 帖子:304
  • 注册: 2005-02-23
  • 来自:
发表于: 2007-05-24 15:16 | 只看楼主 短消息 资料
字号: 1楼

U盘上有servet.exe和AutoRun.inf文件

昨天在病毒电脑上使用U盘后,发现U盘上有这servet.exe和AutoRun.inf两个文件,现在病毒电脑已经清除完病毒,在病毒电脑上插上U盘可以看见U盘根目录下有servet.exe和AutoRun.inf文件,但U盘插在另外一台电脑上,右击打开U盘,发现这两个文件闪一下就消失了。用刚升级的瑞星(19.24.31)查杀U盘,未报任何毒。
最后编辑2007-05-25 16:37:15
分享到:
gototop
 
紫光煦亮
头像
锋芒艾服狮
  • 帖子:1526
  • 注册: 2006-02-19
  • 来自:
发表于: 2007-05-24 15:18 | 短消息 资料
字号: 2楼

自己BAIDU下
gototop
 
长期潜水
头像
初生襁褓狮
  • 帖子:138
  • 注册: 2007-02-01
  • 来自:
发表于: 2007-05-24 15:30 | 短消息 资料
字号: 3楼

病毒采用这种方式,利用一般人双击打开的习惯来间接激活病毒
右键--打开,删掉就可以了
"两个文件闪一下就消失了"要么是杀毒软件处理了,要么是被激活,自己毁尸灭迹了....
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 15:41 | 短消息 资料
字号: 4楼

引用:
【雅朵的贴子】昨天在病毒电脑上使用U盘后,发现U盘上有这servet.exe和AutoRun.inf两个文件,现在病毒电脑已经清除完病毒,在病毒电脑上插上U盘可以看见U盘根目录下有servet.exe和AutoRun.inf文件,但U盘插在另外一台电脑上,右击打开U盘,发现这两个文件闪一下就消失了。用刚升级的瑞星(19.24.31)查杀U盘,未报任何毒。
………………

收到一个邮件附件,里面是这个样本。邮件是你发的?

我看看这个DD
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-24 15:47 | 短消息 资料
字号: 5楼

这小楼主,呵呵!!!

猫猫刚帮你除了你系统里的毒,就忘了说你的所有移动存储设备里也得删除。

你这就插了,估计你插过的所有系统都未停掉自动播放。

所以怀疑两台插过的系统,都又回头了。

再慢慢搞吧。

嘿嘿。

两个系统有没异常啊?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 15:59 | 短消息 资料
字号: 6楼

【回复“雅朵”的帖子】
用IceSword杀毒。
流程:
1、禁止进程创建。
2、结束下列进程:
[PID: 3760][C:\program files\internet explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2876][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
3、删除病毒文件:
C:\windows\system32\servet.exe
各个非系统分区以及U盘根目录下的servet.exe和AutoRun.inf
4、删除病毒服务项:WindowsDown(指向C:\windows\system32\servet.exe)
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 16:29 | 短消息 资料
字号: 7楼

【回复“雅朵”的帖子】
关于你发来的那个sxrcoku.exe样本的查杀见下面几幅图。

1、结束下列进程

附件附件:

下载次数:305
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 16:29:32
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 16:30 | 短消息 资料
字号: 8楼

2、删除下列文件(注意:我的硬盘只有C、D两个分区。如果你的硬盘还有E、F、G、H....分区,这些分区下的autorun.inf和相应的.exe也要删除。)
至于U盘的处理,请先禁止自动播放。再将U盘插入USB口,用WINRAR找到并删除其中的autorun.inf和相应的.exe。

附件附件:

下载次数:338
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 16:30:07
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 16:30 | 短消息 资料
字号: 9楼

3、删除下列注册表项

附件附件:

下载次数:287
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 16:30:45
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 16:32 | 短消息 资料
字号: 10楼

4、这个注册表项不能删除。但必须通过编辑,去掉其中的autocheck

附件附件:

下载次数:298
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 16:32:03
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT