“Worm.Win32.AutoRun.ekm”的意思、由来-中文百科全书

病毒标签

病毒名称： Worm.Win32.AutoRun.ekm

病毒类型：蠕虫

文件 MD5： 493A917EBA76C506CD0C9F5933542D00

公开范围：完全公开

危害等级： 4

文件长度： 38,550 字节

感染系统： Windows98以上版本

加壳类型： FSG 2.0 -> bart/xt [Overlay]

开发工具： Borland Delphi 6.0 - 7.0

该病毒为蠕虫类病毒，病毒运行后，调用API函数获取常用路径，查找当前标题为：“我的电脑”、“我的电脑”、“My Computer”的窗体，并向该窗口发送消息，创建互斥量、拷贝病毒自身%SYSTEM32%目录下，调用API启动病毒释放的文件，遍历进程查找QQ.exe、QQDoctor.exe、QQDoctorMain.exe，找到将其进程强行结束，调用CMD命令删除病毒自身，删除注册表项、使系统无法进入安全模式，修改注册表、使隐藏文件无法显示，并使用户无法更改文件夹选项、添加注册表病毒启动项，添加映像劫持、劫持大量安全软件及系统常用工具，使用了进程互相技术防止病毒进程被结束，连接网络下载恶意病毒文件。

行为分析

本地行为

1、调用API函数FindWindowA获取常用路径，查找当前标题为：“我的电脑”、“我的电脑”、“My Computer”的窗体，使用PostMessageA函数向该窗口发送消息。

2、文件运行后会释放以下文件

%system32%\\uvaucd.exe

%system32%\\sciony.exe

%system32%\\musz1s.dll

%system32%\\musz2s.dll

%system32%\vshfq.dll

%system32%\vshfq.nls

%system32%\\uvaucd.inf

%HomeDrive%\\sciony.exe

%HomeDrive%\\autorun.inf

3、删除注册表、添加注册表启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden

\\SHOWALL\\CheckedValue

值: DWORD: 1 (0x1)

描述：使用户无法更改文件夹选项

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork

\\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@

值: 字符串: "DiskDrive"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork

\\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@

值: 字符串: "DiskDrive"

描述：使系统无法进入安全模式

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

描述：使系统隐藏文件设置为不可见

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder

\\SuperHidden\\Type

新: 字符串: "checkbox2"

旧: 字符串: "checkbox"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\helpsvc\\Start

新: DWORD: 4 (0x4)

旧: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wuauserv\\Start

新: DWORD: 4 (0x4)

旧: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options

\\被劫持的软件名\\Debugger

值: 字符串: "ntsd -d"

描述：添加映像劫持，被劫持的列表为：

360rpt.exe、360rpt.exe、360Safe.exe、360Safe.exe、360safebox.exe、360safebox.exe、360tray.exe、360tray.exe、adam.exe、adam.exe、AgentSvr.exe、AgentSvr.exe、AntiU.exe、AntiU.exe、AoYun.exe、AoYun.exe、appdllman.exe、appdllman.exe、AppSvc32.exe、AppSvc32.exe、ArSwp.exe、ArSwp.exe、AST.exe、AST.exe、auto.exe、auto.exe、AutoRun.exe、AutoRun.exe、autoruns.exe、autoruns.exe、av.exe、av.exe、AvastU3.exe、AvastU3.exe、avconsol.exe、avconsol.exe、avgrssvc.exe、avgrssvc.exe、AvMonitor.exe、AvMonitor.exe、avp.com、avp.com、avp.exe、avp.exe、AvU3Launcher.exe、AvU3Launcher.exe、CCenter.exe、CCenter.exe、ccSvcHst.exe、ccSvcHst.exe、cross.exe、cross.exe、Discovery.exe、Discovery.exe、EGHOST.exe、EGHOST.exe、FileDsty.exe、FileDsty.exe、FTCleanerShell.exe、FTCleanerShell.exe、FYFireWall.exe、FYFireWall.exe、ghost.exe、ghost.exe、guangd.exe、guangd.exe、HijackThis.exe、HijackThis.exe、IceSword.exe、IceSword.exe、iparmo.exe、iparmo.exe、Iparmor.exe、Iparmor.exe、irsetup.exe、irsetup.exe、isPwdSvc.exe、isPwdSvc.exe、kabaload.exe、kabaload.exe、KaScrScn.SCR、KaScrScn.SCR、KASMain.exe、KASMain.exe、KASTask.exe、KASTask.exe、KAV32.exe、KAV32.exe、KAVDX.exe、KAVDX.exe、KAVPF.exe、KAVPF.exe、KAVPFW.exe、KAVPFW.exe、KAVSetup.exe、KAVSetup.exe、KAVStart.exe、KAVStart.exe、kernelwind32.exe、kernelwind32.exe、KISLnchr.exe、KISLnchr.exe、kissvc.exe、kissvc.exe、KMailMon.exe、KMailMon.exe、KMFilter.exe、KMFilter.exe、KPFW32.exe、KPFW32.exe、KPFW32X.exe、KPFW32X.exe、KPfwSvc.exe、KPfwSvc.exe、KRegEx.exe、KRegEx.exe、KRepair.com、KRepair.com、KsLoader.exe、KsLoader.exe、KVCenter.kxp、KVCenter.kxp、KvDetect.exe、KvDetect.exe、KvfwMcl.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP.kxp、KVMonXP_1.kxp、KVMonXP_1.kxp、kvol.exe、kvol.exe、kvolself.exe、kvolself.exe、KvReport.kxp、KvReport.kxp、KVScan.kxp、KVScan.kxp、KVSrvXP.exe、KVSrvXP.exe、KVStub.kxp、KVStub.kxp、kvupload.exe、kvupload.exe、kvwsc.exe、kvwsc.exe、KvXP.kxp、KvXP.kxp、KvXP_1.kxp、KvXP_1.kxp、KWatch.exe、KWatch.exe、KWatch9x.exe、KWatch9x.exe、KWatchX.exe、KWatchX.exe、loaddll.exe、loaddll.exe、logogo.exe、logogo.exe、MagicSet.exe、MagicSet.exe、mcconsol.exe、mcconsol.exe、mmqczj.exe、mmqczj.exe、mmsk.exe、mmsk.exe、Navapsvc.exe、Navapsvc.exe、Navapw32.exe、Navapw32.exe、NAVSetup.exe、NAVSetup.exe、niu.exe、niu.exe、nod32.exe、nod32.exe、nod32krn.exe、nod32krn.exe、nod32kui.exe、nod32kui.exe、NPFMntor.exe、NPFMntor.exe、pagefile.exe、pagefile.exe、pagefile.pif、pagefile.pif、PFW.exe、PFW.exe、PFWLiveUpdate.exe、PFWLiveUpdate.exe、QHSET.exe、QHSET.exe、QQDoctor.exe、QQDoctor.exe、QQDoctorMain.exe、QQDoctorMain.exe、QQKav.exe、QQKav.exe、QQSC.exe、QQSC.exe、Ras.exe、Ras.exe、Rav.exe、Rav.exe、RavMon.exe、RavMon.exe、RavMonD.exe、RavMonD.exe、RavStub.exe、RavStub.exe、RavTask.exe、RavTask.exe、RegClean.exe、RegClean.exe、regedit.exe、regedit.exe、regedit32.exe、regedit32.exe、rfwcfg.exe、rfwcfg.exe、rfwmain.exe、rfwmain.exe、rfwProxy.exe、rfwProxy.exe、rfwsrv.exe、rfwsrv.exe、RsAgent.exe、RsAgent.exe、Rsaupd.exe、Rsaupd.exe、rstrui.exe、rstrui.exe、runiep.exe、runiep.exe、safelive.exe、safelive.exe、scan32.exe、scan32.exe、ScanU3.exe、ScanU3.exe、SDGames.exe、SDGames.exe、SelfUpdate.exe、SelfUpdate.exe、servet.exe、servet.exe、shcfg32.exe、shcfg32.exe、SmartUp.exe、SmartUp.exe、sos.exe、sos.exe、SREng.EXE、SREng.EXE、SREngPS.EXE、SREngPS.EXE、symlcsvc.exe、symlcsvc.exe、SysSafe.exe、SysSafe.exe、TNT.Exe、TNT.Exe、TrojanDetector.exe、TrojanDetector.exe、Trojanwall.exe、Trojanwall.exe、TrojDie.kxp、TrojDie.kxp、TxoMoU.Exe、TxoMoU.Exe、UFO.exe、UFO.exe、UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAgent.exe、UmxAttachment.exe、UmxAttachment.exe、UmxCfg.exe、UmxCfg.exe、UmxFwHlp.exe、UmxFwHlp.exe、UmxPol.exe、UmxPol.exe、upiea.exe、upiea.exe、UpLive.exe、UpLive.exe、USBCleaner.exe、USBCleaner.exe、vsstat.exe、vsstat.exe、webscanx.exe、webscanx.exe、WoptiClean.exe、WoptiClean.exe、Wsyscheck.exe、Wsyscheck.exe、XDelBox.exe、XDelBox.exe、XP.exe、XP.exe、zjb.exe、zjb.exe、zxsweep.exe、zxsweep.exe、~.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\explorer\\run\\sciony.exe

值: 字符串: "C:\\WINDOWS\\system32\\sciony.exe"

描述：添加病毒注册表启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\explorer\\run\\uvaucd.exe

值: 字符串: "%system32%\\uvaucd.exe"

描述：添加病毒注册表启动项

4、遍历进程查找QQ.exe、QQDoctor.exe、QQDoctorMain.exe，找到以后调用TerminateProcess函数将其进程强行结束，使用CMD命令/c del删除病毒自身，使用了进程互相技术防止病毒进程被结束。

网络行为

协议：TCP

端口：80

连接服务器名：http://a198921.cni****.cn

描述：连接该域名服务器下载恶意病毒文件,发送GET信息请求以下病毒文件：

GET /11.exe

GET /cs1.exe

GET /cs.exe

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings

\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是%WINDOWS%\\System

windowsXP中默认的安装路径是%system32%

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

（1）使用ATOOL管理工具，“进程管理“，同时结束uvaucd.exe、 sciony.exe进程。

（2）强行删除病毒文件

%system32%\\uvaucd.exe

%system32%\\sciony.exe

%system32%\\musz1s.dll

%system32%\\musz2s.dll

%system32%\vshfq.dll

%system32%\vshfq.nls

%system32%\\uvaucd.inf

%HomeDrive%\\sciony.exe

%HomeDrive%\\autorun.inf

（3）恢复注册表下的安全模式,将以下3个注册表键分别用记事本分别保存为后缀名为.reg的文件，双击导入即可

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder

\\Hidden\\SHOWALL\\CheckedValue

值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork

\\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@

值: 字符串: "DiskDrive"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork

\\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@

值: 字符串: "DiskDrive"

（4）恢复病毒修改的注册表

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

\\Folder\\SuperHidden\\Type

新: 字符串: "checkbox2"

旧: 字符串: "checkbox"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\helpsvc\\Start

新: DWORD: 4 (0x4)http://control.blog.sina.com.cn/admin/article/article_add.php

旧: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wuauserv\\Start

新: DWORD: 4 (0x4)

旧: DWORD: 2 (0x2)

（5）删除注册表病毒启动项、删除注册表添加的映像劫持

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\explorer\\run\\sciony.exe

值: 字符串: "C:\\WINDOWS\\system32\\sciony.exe"

删除run键下的病毒键sciony.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\explorer\\run\\uvaucd.exe

值: 字符串: "%system32%\\uvaucd.exe"

删除run键下的病毒键uvaucd.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options

\\被劫持的软件名\\Debugger

值: 字符串: "ntsd -d"

删除Image File Execution Options键下的所有键值

词条	Worm.Win32.AutoRun.ekm
释义	病毒标签病毒描述行为分析清除方案病毒标签病毒名称： Worm.Win32.AutoRun.ekm 病毒类型：蠕虫文件 MD5： 493A917EBA76C506CD0C9F5933542D00 公开范围：完全公开危害等级： 4 文件长度： 38,550 字节感染系统： Windows98以上版本加壳类型： FSG 2.0 -> bart/xt [Overlay] 开发工具： Borland Delphi 6.0 - 7.0 病毒描述该病毒为蠕虫类病毒，病毒运行后，调用API函数获取常用路径，查找当前标题为：“我的电脑”、“我的电脑”、“My Computer”的窗体，并向该窗口发送消息，创建互斥量、拷贝病毒自身%SYSTEM32%目录下，调用API启动病毒释放的文件，遍历进程查找QQ.exe、QQDoctor.exe、QQDoctorMain.exe，找到将其进程强行结束，调用CMD命令删除病毒自身，删除注册表项、使系统无法进入安全模式，修改注册表、使隐藏文件无法显示，并使用户无法更改文件夹选项、添加注册表病毒启动项，添加映像劫持、劫持大量安全软件及系统常用工具，使用了进程互相技术防止病毒进程被结束，连接网络下载恶意病毒文件。行为分析本地行为 1、调用API函数FindWindowA获取常用路径，查找当前标题为：“我的电脑”、“我的电脑”、“My Computer”的窗体，使用PostMessageA函数向该窗口发送消息。 2、文件运行后会释放以下文件 %system32%\\uvaucd.exe %system32%\\sciony.exe %system32%\\musz1s.dll %system32%\\musz2s.dll %system32%\vshfq.dll %system32%\vshfq.nls %system32%\\uvaucd.inf %HomeDrive%\\sciony.exe %HomeDrive%\\autorun.inf 3、删除注册表、添加注册表启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden \\SHOWALL\\CheckedValue 值: DWORD: 1 (0x1) 描述：使用户无法更改文件夹选项 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork \\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@ 值: 字符串: "DiskDrive" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork \\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@ 值: 字符串: "DiskDrive" 描述：使系统无法进入安全模式 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) 描述：使系统隐藏文件设置为不可见 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder \\SuperHidden\\Type 新: 字符串: "checkbox2" 旧: 字符串: "checkbox" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\helpsvc\\Start 新: DWORD: 4 (0x4) 旧: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wuauserv\\Start 新: DWORD: 4 (0x4) 旧: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options \\被劫持的软件名\\Debugger 值: 字符串: "ntsd -d" 描述：添加映像劫持，被劫持的列表为： 360rpt.exe、360rpt.exe、360Safe.exe、360Safe.exe、360safebox.exe、360safebox.exe、360tray.exe、360tray.exe、adam.exe、adam.exe、AgentSvr.exe、AgentSvr.exe、AntiU.exe、AntiU.exe、AoYun.exe、AoYun.exe、appdllman.exe、appdllman.exe、AppSvc32.exe、AppSvc32.exe、ArSwp.exe、ArSwp.exe、AST.exe、AST.exe、auto.exe、auto.exe、AutoRun.exe、AutoRun.exe、autoruns.exe、autoruns.exe、av.exe、av.exe、AvastU3.exe、AvastU3.exe、avconsol.exe、avconsol.exe、avgrssvc.exe、avgrssvc.exe、AvMonitor.exe、AvMonitor.exe、avp.com、avp.com、avp.exe、avp.exe、AvU3Launcher.exe、AvU3Launcher.exe、CCenter.exe、CCenter.exe、ccSvcHst.exe、ccSvcHst.exe、cross.exe、cross.exe、Discovery.exe、Discovery.exe、EGHOST.exe、EGHOST.exe、FileDsty.exe、FileDsty.exe、FTCleanerShell.exe、FTCleanerShell.exe、FYFireWall.exe、FYFireWall.exe、ghost.exe、ghost.exe、guangd.exe、guangd.exe、HijackThis.exe、HijackThis.exe、IceSword.exe、IceSword.exe、iparmo.exe、iparmo.exe、Iparmor.exe、Iparmor.exe、irsetup.exe、irsetup.exe、isPwdSvc.exe、isPwdSvc.exe、kabaload.exe、kabaload.exe、KaScrScn.SCR、KaScrScn.SCR、KASMain.exe、KASMain.exe、KASTask.exe、KASTask.exe、KAV32.exe、KAV32.exe、KAVDX.exe、KAVDX.exe、KAVPF.exe、KAVPF.exe、KAVPFW.exe、KAVPFW.exe、KAVSetup.exe、KAVSetup.exe、KAVStart.exe、KAVStart.exe、kernelwind32.exe、kernelwind32.exe、KISLnchr.exe、KISLnchr.exe、kissvc.exe、kissvc.exe、KMailMon.exe、KMailMon.exe、KMFilter.exe、KMFilter.exe、KPFW32.exe、KPFW32.exe、KPFW32X.exe、KPFW32X.exe、KPfwSvc.exe、KPfwSvc.exe、KRegEx.exe、KRegEx.exe、KRepair.com、KRepair.com、KsLoader.exe、KsLoader.exe、KVCenter.kxp、KVCenter.kxp、KvDetect.exe、KvDetect.exe、KvfwMcl.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP.kxp、KVMonXP_1.kxp、KVMonXP_1.kxp、kvol.exe、kvol.exe、kvolself.exe、kvolself.exe、KvReport.kxp、KvReport.kxp、KVScan.kxp、KVScan.kxp、KVSrvXP.exe、KVSrvXP.exe、KVStub.kxp、KVStub.kxp、kvupload.exe、kvupload.exe、kvwsc.exe、kvwsc.exe、KvXP.kxp、KvXP.kxp、KvXP_1.kxp、KvXP_1.kxp、KWatch.exe、KWatch.exe、KWatch9x.exe、KWatch9x.exe、KWatchX.exe、KWatchX.exe、loaddll.exe、loaddll.exe、logogo.exe、logogo.exe、MagicSet.exe、MagicSet.exe、mcconsol.exe、mcconsol.exe、mmqczj.exe、mmqczj.exe、mmsk.exe、mmsk.exe、Navapsvc.exe、Navapsvc.exe、Navapw32.exe、Navapw32.exe、NAVSetup.exe、NAVSetup.exe、niu.exe、niu.exe、nod32.exe、nod32.exe、nod32krn.exe、nod32krn.exe、nod32kui.exe、nod32kui.exe、NPFMntor.exe、NPFMntor.exe、pagefile.exe、pagefile.exe、pagefile.pif、pagefile.pif、PFW.exe、PFW.exe、PFWLiveUpdate.exe、PFWLiveUpdate.exe、QHSET.exe、QHSET.exe、QQDoctor.exe、QQDoctor.exe、QQDoctorMain.exe、QQDoctorMain.exe、QQKav.exe、QQKav.exe、QQSC.exe、QQSC.exe、Ras.exe、Ras.exe、Rav.exe、Rav.exe、RavMon.exe、RavMon.exe、RavMonD.exe、RavMonD.exe、RavStub.exe、RavStub.exe、RavTask.exe、RavTask.exe、RegClean.exe、RegClean.exe、regedit.exe、regedit.exe、regedit32.exe、regedit32.exe、rfwcfg.exe、rfwcfg.exe、rfwmain.exe、rfwmain.exe、rfwProxy.exe、rfwProxy.exe、rfwsrv.exe、rfwsrv.exe、RsAgent.exe、RsAgent.exe、Rsaupd.exe、Rsaupd.exe、rstrui.exe、rstrui.exe、runiep.exe、runiep.exe、safelive.exe、safelive.exe、scan32.exe、scan32.exe、ScanU3.exe、ScanU3.exe、SDGames.exe、SDGames.exe、SelfUpdate.exe、SelfUpdate.exe、servet.exe、servet.exe、shcfg32.exe、shcfg32.exe、SmartUp.exe、SmartUp.exe、sos.exe、sos.exe、SREng.EXE、SREng.EXE、SREngPS.EXE、SREngPS.EXE、symlcsvc.exe、symlcsvc.exe、SysSafe.exe、SysSafe.exe、TNT.Exe、TNT.Exe、TrojanDetector.exe、TrojanDetector.exe、Trojanwall.exe、Trojanwall.exe、TrojDie.kxp、TrojDie.kxp、TxoMoU.Exe、TxoMoU.Exe、UFO.exe、UFO.exe、UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAgent.exe、UmxAttachment.exe、UmxAttachment.exe、UmxCfg.exe、UmxCfg.exe、UmxFwHlp.exe、UmxFwHlp.exe、UmxPol.exe、UmxPol.exe、upiea.exe、upiea.exe、UpLive.exe、UpLive.exe、USBCleaner.exe、USBCleaner.exe、vsstat.exe、vsstat.exe、webscanx.exe、webscanx.exe、WoptiClean.exe、WoptiClean.exe、Wsyscheck.exe、Wsyscheck.exe、XDelBox.exe、XDelBox.exe、XP.exe、XP.exe、zjb.exe、zjb.exe、zxsweep.exe、zxsweep.exe、~.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\explorer\\run\\sciony.exe 值: 字符串: "C:\\WINDOWS\\system32\\sciony.exe" 描述：添加病毒注册表启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\explorer\\run\\uvaucd.exe 值: 字符串: "%system32%\\uvaucd.exe" 描述：添加病毒注册表启动项 4、遍历进程查找QQ.exe、QQDoctor.exe、QQDoctorMain.exe，找到以后调用TerminateProcess函数将其进程强行结束，使用CMD命令/c del删除病毒自身，使用了进程互相技术防止病毒进程被结束。网络行为协议：TCP 端口：80 连接服务器名：http://a198921.cni****.cn 描述：连接该域名服务器下载恶意病毒文件,发送GET信息请求以下病毒文件： GET /11.exe GET /cs1.exe GET /cs.exe 注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter%　逻辑驱动器根目录 %ProgramFiles%　系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings \\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是%WINDOWS%\\System windowsXP中默认的安装路径是%system32% 清除方案 1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。（1）使用ATOOL管理工具，“进程管理“，同时结束uvaucd.exe、 sciony.exe进程。（2）强行删除病毒文件 %system32%\\uvaucd.exe %system32%\\sciony.exe %system32%\\musz1s.dll %system32%\\musz2s.dll %system32%\vshfq.dll %system32%\vshfq.nls %system32%\\uvaucd.inf %HomeDrive%\\sciony.exe %HomeDrive%\\autorun.inf （3）恢复注册表下的安全模式,将以下3个注册表键分别用记事本分别保存为后缀名为.reg的文件，双击导入即可 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder \\Hidden\\SHOWALL\\CheckedValue 值: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork \\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@ 值: 字符串: "DiskDrive" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork \\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@ 值: 字符串: "DiskDrive" （4）恢复病毒修改的注册表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced \\Folder\\SuperHidden\\Type 新: 字符串: "checkbox2" 旧: 字符串: "checkbox" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\helpsvc\\Start 新: DWORD: 4 (0x4)http://control.blog.sina.com.cn/admin/article/article_add.php 旧: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wuauserv\\Start 新: DWORD: 4 (0x4) 旧: DWORD: 2 (0x2) （5）删除注册表病毒启动项、删除注册表添加的映像劫持 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\explorer\\run\\sciony.exe 值: 字符串: "C:\\WINDOWS\\system32\\sciony.exe" 删除run键下的病毒键sciony.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\explorer\\run\\uvaucd.exe 值: 字符串: "%system32%\\uvaucd.exe" 删除run键下的病毒键uvaucd.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options \\被劫持的软件名\\Debugger 值: 字符串: "ntsd -d" 删除Image File Execution Options键下的所有键值
随便看	索尼爱立信W390 索尼爱立信W395 索尼爱立信w395c 索尼爱立信W43S 索尼爱立信W508 索尼爱立信 W508 索尼爱立信W518a 索尼爱立信W51S 索尼爱立信W550c 索尼爱立信W580 索尼爱立信W580c 索尼爱立信W580i 索尼爱立信W595 索尼爱立信W595c 索尼爱立信W595s 索尼爱立信W610c 索尼爱立信W610i 索尼爱立信W61s 索尼爱立信W63S 索尼爱立信W64S 索尼爱立信W660i 索尼爱立信w700c 索尼爱立信W705 索尼爱立信W707 索尼爱立信W710c

病毒标签

病毒描述

行为分析

清除方案