U盘病毒main.vbs分析与手动清除-宜昌电脑耗材网

U盘病毒main.vbs分析与手动清除

该病毒激活后，会逐渐产生.下面的文件，各个文件的行为说明如下：
[main.vbs]
1 在注册表中建立
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWindows XP_WMI
值为C:WINDOWSaddinsmain.vbs的启动项
2 检测当前主机是否.上网，并关闭windows防火墙
3 如果有参数，下载http://cszyl20.blog.enorth.com.cn/attachment/zip/110112.rar保存为C:WINDOWSaddinssetup.exe并执行
如果没有.参数，下载http://zwz2007.199.hezu1.com/bat.jpg保存为C:WINDOWSaddinswmi.bat 并执行
[070116.vbs]
下载http://zwz2007.199.hezu1.com/bat.jpg保存为C:WINDOWSaddinswmi.bat并执行C:WINDOWSaddinswmi.bat setup
[wmi.vbs]
根据扫描的ip地址用administrator和空密码试图在主机上运行cmd.exe创建%windir%70116.vbs并执行
[wmi.bat]
通过debug.命令生成C:WINDOWSaddinswmi.vbs，C:WINDOWSaddinssvchost.exe，C:WINDOWSaddinsmain.vbs三个文件
执行main.vbs和wmi.vbs文件
通过svchost.exe扫描同一局域网.上的在线主机，并调用wmi.vbs感染他们
关闭windows防火墙服务
[svchost.exe]
端口扫描软件，可以.扫描局域网在线主机
[setup.exe]
应该是灰鸽子木马
手动清除办法：
1、将svchost.exe结束掉。一定要注意不.要结束了正常的系统进程；
2、删除上面描述的几个主要文件；
3、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWindows XP_WMI启动项；
4、重启计算机，将上面描述的文件生成产物删除；
5、使用杀毒软件，用最新的.病毒库进行全盘扫描，清除病毒下载下来的残余文件。

发布日期：2019/11/24

宜昌打印机维修复印机一体机上门维修热线：13677173728 邢师傅 0717-6736581


宜昌电脑耗材网版权所有 Copyright©2014-2020 Www.Ycoaw.Com ALL Rights Resrved ;商务QQ：7533615 产品信息 - 资料 - 上传 - 新品牌报价 - 行业新闻投信箱sysharp@126.com 0717-6736581 宜昌市福瑞电脑科技有限公司鄂ICP备18013266号鄂公网安备:42050202000383号文章版权归原作者所有如有侵权请立即与我们联系,我们将及时处理