病毒Trojan.DL.Win32.Agent.zjh原理及解决方案

楼主^#

更多发布于：2013-04-09 21:25

[] 1


	病毒名称：Trojan.DL.Win32.Agent.zjh 病毒样本文件名称：niu.exe 样本文件大小：62976字节感染过程：运行病毒样本程序niu.exe，病毒会在所有分区根目录中释放病毒文件niu.exe和autorun.inf，如下图：图片：1f4ec33b0663c41863620448dd1297e5.jpg 文件夹的显示隐藏文件属性被锁定：图片：0b9ce5705e96627aa6ee5520f06c4da5.jpg 在系统目system32录中释放病毒文件reg.exe并启动大量进程安全软件被强行关闭图片：eb05be9459030d88ad713f11555dd03b.jpg 安全模式无法进入，进入时呈现蓝屏现象：图片：d43905af93df1ef063fe942a971fa86a.jpg 磁盘盘符无法直接双击打开：图片：27a99c5a9324452193722f0433426715.jpg 利用File Monitor检测发现autorun.inf的保护进程CRSSS.EXE 图片：8ab56e24b7bfb78959772e16753de501.jpg 检测清理过程：首先使用IceSword结束病毒进程crsss.exe和reg.exe 图片：ab4515a494bd2c2ec4f1f7e9220c84e3.jpg 由于reg.exe病毒进程会反复重启，所以在结束病毒进程前需要勾选IceSword的“禁止进线程创建”选项来禁止系统新的进程创建图片：b7dff5c4e6b0537f5eb4d16524109892.png 结束进程后，进入C:WINDOWSsystem32目录中找到的病毒文件图片：1734d9b6593723bf1938ca509cd20a9b.jpg 使用IceSword对文件进行强制删除图片：19397a0f1665a515e785f4a94613340e.jpg 删掉硬盘跟目录中的自动播放文件图片：5e88331a4d37126ff7fcf9461b43e633.jpg 去掉劫持项：图片：6f4ede5e65a51cbf210802c88594e8fa.jpg 病毒清理完成后需要对系统进行修复，无法进入安全模式可以直接将相应注册表键值导入即可。