recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法

  一、病毒描述:

  病毒通过U盘传播,运行后复制自身到系统目录并释放一个灰鸽子木马。为增强隐蔽性,生成的病毒文件有回收站和安

  装程序两种图标。

  二、病毒基本情况:

  病毒名称:Trojan-Dropper.Win32.VB.rj

  病毒别名:无

  病毒类型:病毒

  危害级别:3

  感染平台:Windows

  病毒大小:458,752(字节)

  SHA1  :b86e419783b2d1ca9a5d4ea7de4711cf3da7a83b

  加壳类型:无

  开发工具:Microsoft Visual Basic 5.0 / 6.0

  三、病毒行为:

  1、病毒运行后会生成以下文件:

  %windir%svchost.exe (458752 字节,回收站图标)

  %windir%

  avfree.exe (307640 字节,安装程序图标,灰鸽子木马)

  %ProgramFiles%Common FilesMicrosoft SharedMSINFOservieces.exe (307640 字节,安装程序图

  标,灰鸽子木马)

  %windir%system32_servieces.exe (307640 字节,安装程序图标,灰鸽子木马)

  2、修改注册表添加一个启动项:

  键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

  键名:Shell

  键值:Explorer.exe %windir%svchost.exe

  3、为灰鸽子木马添加一个服务:

  服务名称:system starmize

  显示名称:system starmize

  描述:系统自带启动优化

  可执行文件路径:%ProgramFiles%Common FilesMicrosoft SharedMSINFOservieces.exe

  启动类型:自动

  4、修改系统时间。通过执行cmd.exe /c date 1980-01-01命令,将系统时间修改为1980年。

  5、监视U盘等移动设备,拷贝自身到U盘里面并命名为recycle.exe,写入autorun.inf,以达到随U盘传播的目的。

  6、病毒释放的灰鸽木马会连接http://sx.yixiti.net.ru/i/i.txt下载i.txt文件,根据i.txt文件中的内容连接黑客

  并接受其控制。

  7、监视自身文件及启动项,防止被删除。

  四、解决方案:

  1、删除注册表内的启动项。修改注册表删除病毒启动项,删除键值内的%windir%svchost.exe:

  键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

  键名:Shell

  键值:Explorer.exe %windir%svchost.exe

  2、重启计算机,进入安全模式。

  3、删除病毒文件。删除以下文件:

  %windir%svchost.exe

  %windir%

  avfree.exe

  %ProgramFiles%Common FilesMicrosoft SharedMSINFOservieces.exe

  %windir%system32_servieces.exe

  4、删除病毒添加的服务。打开超级巡警,使用服务管理功能删除名为system starmize的服务。

  5、修正系统时间。

  五、对预防此病毒的建议:

  由于此病毒是通过U盘传播的,所以建议使用超级巡警的U盘免疫对U盘进行免疫,并且废除系统的自动运行功能。在

  将U盘插入到电脑时要对U盘进行杀毒,然后再使用。

  您可能感兴趣的文章: