1、最近有个朋友u盘中了文件夹exe病毒exe专杀,并且在他的电脑上打开了u盘,导致电脑系统也中了标。u盘我在正常的电脑上下个专杀,轻松搞定,文件也恢复了。电脑系统当然最简单的就是重装系统,但那样不应该是我们的首选,因此我开始琢磨怎么杀毒。
2、利用原系统杀毒是不可能了exe专杀,因为系统中病毒后,病毒已经拥有了很高的权限及抗杀毒软件的能力。于是我找了个大白菜的启动u盘,并从网上下载了个绿色版的文件夹EXE病毒查杀修复工具V1.0。
3、刚开始我使用大白菜的PE2003尝试运行文件夹EXE病毒查杀修复工具V1.0,但是失败,出现错误exe专杀。
4、于是我使用WIN8的PE运行文件夹EXE病毒查杀修复工具V1.0,这次运行成功,可以进行电脑系统的病毒查杀。
5、打开专杀,对系统上的所有硬盘进行查杀。
6、用专杀工具查杀完后,又进入到原系统的系统盘,打开原系统安装的杀毒软件,win8 pe下可以运行原系统安装的杀毒软件。用杀毒软件进行杀毒。
7、杀完毒后,再进原电脑硬盘,发现文件夹都已经恢复。
8、但是正常启动进入系统后发现病毒又运行了,没办法,按照以上步骤进pe再杀一遍毒,但是杀完后重起系统时按f8进入带网络连接的安全模式,再次启动杀毒软件,并将病毒库更新到最新,进行杀毒。问题解决。
有会自动生成后缀为exe的同名文件夹的病毒专杀吗?
文件夹exe病毒也是一种常见病毒,全称为Worm.Win32.AutoRun.soq ,而且这种病毒的变种很多,一般的杀毒软件都不会有所提示的。当你在电脑或U盘中看到文件都变成了同名的后缀名为exe的文件夹,而且双击和右击打开都无法打开时,那就要注意了,这说明很可能是中毒了。
确认exe病毒:
将原文件夹的属性改为隐藏,生成一个同名的.exe文件夹。点击运行后跳转到打不开的文件夹中,选择菜单栏上的工具-文件夹选项-查看,把隐藏受保护的对象前面的勾去掉,再选择显示所有文件或文件夹,看看是不是被隐藏了。如果并没有出现多的隐藏文件,那就说明你已经中了后缀名为exe的同名文件夹的病毒了。
Vmdetdhc.exe专杀
vmdetdhc.exe,xxxz23.ini等木马病毒清除解决方案
病毒名称: Trojan.Win32.Delf.gfw
病毒类型: 木马
文件 MD5: 9C9AD87459DFF7DD3617AB82F2D71930
公开范围: 完全公开
危害等级: 4
文件长度: 145,408 字节
感染系统: Windows98以上版本
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
开发工具: Borland Delphi 6.0 - 7.0
病毒描述
该病毒为木马类病毒,病毒运行后创建副本病毒vmdetdhc.exe、xxxz23.ini到%System32%目录下,并将文件属性设置为隐藏、修改%system32%\\drivers目录下的Beep服务,创建一个beep.sys文件到该目录下覆盖系统的beep.sys文件,释放的病毒驱动文件恢复SSDT,绕过部分杀毒软件主动防御,调用API函数启动vmdetdhc.exe病毒文件,添加病毒启动项,创建~vmdetdhc.exe.Update到%temp%目录下,读取xxxz23.ini文件内容获取升级地址,该文件可对病毒实时更新、该病毒运行后删除自身文件、连接网络读取列表内容、并按列表内容打开大量恶意链接地址。
行为分析-本地行为
1、文件运行后会释放以下文件
%System32%\\vmdetdhc.exe
%System32%\\xxxz23.ini
%System32%\\drivers\\beep.sys
%System32%\\xxxz23.ini~
%Temp%\\~vmdetdhc.exe.Update
2、删除注册表、添加注册表启动项
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\LEGACY_BEEP\\0000\\Control\\ActiveService
值: 字符串: \"Beep\"
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_BEEP\\0000\\Control\\ActiveService
值: 字符串: \"Beep\"
描述:删除系统beep相关服务
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\vmdetdhc.exe
值: 字符串: \"C:\\WINDOWS\\system32\\vmdetdhc.exe\"
描述:添加病毒开机启动项
3、释放的病毒驱动文件恢复SSDT,绕过部分杀毒软件主动防御,调用API函数启动vmdetdhc.exe病毒文件创建~vmdetdhc.exe.Update到%temp%目录下,用于升级病毒文件,读取xxxz23.ini文件内容获取升级地址、该文件可对病毒实时更新,该病毒运行后删除自身文件。
行为分析-网络行为
协议:TCP
端口:80
连接服务器名:***.net:82/down444.txt
描述:按照文件列表中更新病毒、并打开大量恶意链接地址
列表内容为:
<Config DelayTimer=\"180\" CheckTimer=\"10\" ExeCount=\"0\" ResetCount=\"1\"></Config>
<UpdateURL Ver=\"20081125\" Sleep=\"3\">:8989/vmnatt.exe</UpdateURL>
<StartPage Lock=\"2\" ReRun=\"0\"></StartPage>
<CountURL Switch=\"1\"></CountURL>
<File4 Run=\"1\" Max=\"1\" Sleep=\"0\" NoExists=\"\" Name=\"trem2008\" ExeVer=\"4301002\" Being=\"0\" UserID=\"\">/kole009.htm</File4>
<PopURL1 Pop=\"1\" Show=\"5\" Close=\"0\" Sleep=\"120\" Max=\"2\">/q3.htm</PopURL1>
<PopURL2 Pop=\"1\" Show=\"5\" Close=\"0\" Sleep=\"500\" Max=\"1\">/q2.htm</PopURL2>
<PopURL3 Pop=\"1\" Show=\"5\" Close=\"0\" Sleep=\"300\" Max=\"1\">/click_full.php?tid=1&uid=13498&aid=1&sid=&ref=&referer=&v=&t=</PopURL3>
<PopURL4 Pop=\"1\" Show=\"5\" Close=\"0\" Sleep=\"300\" Max=\"1\">/q3.htm</PopURL4>
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \\Documents and Settings
\\当前用户\\Local Settings\\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\\Winnt\\System32
windows95/98/me中默认的安装路径是%WINDOWS%\\System
windowsXP中默认的安装路径是%system32%
--------------------------------------------------------------------------------
清除方案
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“,束spoolsv.exe进程
(2) 强行删除病毒下载的大量病毒文件
%System32%\\vmdetdhc.exe
%System32%\\xxxz23.ini
%System32%\\drivers\\beep.sys
%System32%\\xxxz23.ini~
%Temp%\\~vmdetdhc.exe.Update
(3)删除病毒创建的启动项
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Ru
病毒名称:Trojan.Win32.KillAV.amx 病毒类型:木马 危害级别:3 感染平台:Windows 病毒大小:35,328字节 SHA1 : CEEB3BCB0901C2B577E382F749EF805B9BED93A5 加壳类型:UPX 开发工具:Borland Delphi 病毒行为: 1、病毒运行以后释放副本和其他病毒。 %system%vmdetdhc.exe %Temp%DFJIOPS4849.tmp %Temporary Internet Files%Content.IE5WP2FCTIVdown333[1].txt 2、添加注册表项,实现开机病毒自启动。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun \"vmdetdhc.exe\" Type: REG_SZ Data: C:WINDOWSsystem32vmdetdhc.exe 3、调用sfc_os.dll下的第五号函数,关闭windows文件保护,将病毒文件beep.sys复制到%system%drivers文件 夹下替换正常的beep.sys,病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。 4、下载更新文档,该文档可对病毒实时更新,并且弹出广告窗口,干扰用户正常使用计算机。 更新文档:***.net:82/down333.txt 更新的病毒:***.43:81/466515.exe 二、解决方案 推荐方案:安装瑞星进行全面病毒查杀。瑞星用户请升级到最新病毒库,并进行全盘扫描。手工清除方法: 1、结束病毒进程。打开超级巡警,选择进程管理功能,终止DFJIOPS4849.tmp进程。 2、删除病毒生成的文件。 %system%vmdetdhc.exe 3、删除病毒添加的注册表项 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun \"vmdetdhc.exe\" Type: REG_SZ Data: C:WINDOWSsystem32vmdetdhc.exe
