病毒—Win32/Gamarue
来源:互联网 发布:软件开发毕业论文题目 编辑:程序博客网 时间:2024/05/29 09:52
中了一个U盘病毒,费了好大劲才弄清是什么毒,记录在这里,以为有需要的人。
百度百科上有这个病毒的介绍:这里是链接。
下面是我的记录:
一、病毒症状:
U盘传播,中毒的U盘只显示一个快捷方式,该快捷方式以"U盘名字+容量"的方式命名,如: kingston(4G).
打开文件夹中隐藏设置: 显示隐藏文件+显示系统保护的文件,之后可以看到4个文件:
1. autorun.inf
2. ~$W****.FAT 动态链接库文件
3. thumbs.db 说是病毒主体文件
4. desktop.ini
5. 一个隐藏文件夹,里面放了原来U盘的内容.
快捷方式链接到 system32\rundll32.exe ~$W****.FAT crys...
当打开快捷方式时能打开原来文件,但是当删除~$W****.FAT后,就提示文件丢失,打不开快捷方式,找不到原文件.
目前不能确定有无其他危害,也许只是一个恶作剧代码,只要U盘插入有毒电脑,即会感染病毒。
二、解决方法
A. 病毒在相应临时文件夹中存在恶意文件(我的例子),分别为
1. C:\Temp\TrustedInstaller.exe
2. C:\Users\S\Local setting\Temp\msexfa.exe (文件夹在多个temp目录都有可能,文件名随机)
将以上文件全部删除,为了确保全面清除,要将所有$Temp$中的.exe,.dll文件全部删除,另外发现.bat批处理、.scr屏保文件也是病毒。所以,可疑文件全部删除。
另外,有些文件夹不能访问,要更改权限:将属性-安全-所有者 改为当前用户,并获得全部权限。
B. 清理注册表信息
HKCU-software-microsoft-windowsNT-currentversion-windows: load项删除(它指向了msexfa.exe)。
其他注册表信息删除可以按百度百科上的进行设置,注册表的位置也不确定,以下是可疑位置:
HKCU-software-microsoft-windows-currentversion-Polices-explorer;
HKCU-software-microsoft-windows-currentversion-Run;
HKCU-software-microsoft-windowsNT-currentversion-windows;
HKLM-software-microsoft-windows-currentversion-Polices-explorer;
HKLM-software-microsoft-windows-currentversion-Run;
HKLM-software-microsoft-windowsNT-currentversion-windows;
C. U盘清理
显示U盘隐藏文件后,删除相应病毒文件即可。
D. 完成以上步骤后要重启电脑,不要着急把U盘重新插入,以防内存中留下的病毒文件重新传播。
三、分析
病毒原理没有找到,也许是利用了windows自动安装或者更新。另外,程序会自动设置文件隐藏。
以上为windows7平台经验。
- 病毒—Win32/Gamarue
- Win32 PE病毒入门教程
- Win32 PE病毒入门教程
- Win32病毒入门
- Win32 PE病毒入门教程
- Win32病毒入门 -- ring3篇
- 关于Win32/Parite.a病毒
- 关于Win32/Parite.a病毒
- Win32病毒入门--ring3篇
- Win32病毒入门(一)
- Win32病毒入门(二)
- Win32 PE病毒初级入门教程
- Win32病毒入门 -- ring3篇
- Win32 PE病毒原理分析
- Win32病毒入门 -- ring3篇
- Trojan.Win32病毒源码分析
- Win32 PE病毒原理分析
- Backdoor.Win32.Rbot病毒防治
- 部分注意事项
- [ACM] hdu 1198 Farm Irrigation (看图枚举+并查集)
- 全角半角转换工具类
- 法国大使认同中国是一只醒狮 中法加强反恐合作
- database psu 11.2.0.3.0 到11.2.0.3.9
- 病毒—Win32/Gamarue
- -------------------Android代码优化——使用Android lint工具
- 携程编程大赛决赛-1004-最短路径的代价
- ant 打包android应用
- Linker Use static Libraries
- ProxyFactory的xml配置方式
- C语言里面的栈和堆
- Makefile文件变量的定义规则
- Python __new__与__init__说明