文件名称:servet.exe
病毒类型:U盘病毒、下载者
行为分析:
1、释放病毒副本:%Systemroot%\system32\servet.exe
2、遍历可用的磁盘,在其目录生成:Autorun.inf和Servet.exe。
并每隔一段时间检测是否有移动盘介入。
3、注册为系统服务,开机自启,服务名为Performance Logs and Ale,指向Servet.exe。
4、查找“IE执行保护"的窗口,并获得其类名,点“允许”或“允许执行”后选“确定”。
5、每隔15秒访问系统drivers目录,查找klif.sys驱动,若有,则删除。
6、修改注册表“自动播放”键值,以保证U盘的自动运行性能。
7、反弹连接61.177.95.1**下载木马,包括梦幻、魔兽、QQ等的盗号木马。
解决方法:
下载木马清除大师2008,使用木马清除大师2008自带的强制删除工具删除以下文件:
C:\AutoRun.inf
C:\servet.exe
D:\AutoRun.inf
D:\servet.exe
E:\AutoRun.inf
E:\servet.exe
F:\AutoRun.inf
F:\servet.exe
C:\Windows\system32\servet.exe
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\Program Files\NetMeeting\ravytmon.cfg
C:\Program Files\NetMeeting\ravytmon.dat
C:\Program Files\NetMeeting\ravytmon.exe
C:\Program Files\NetMeeting\ravzxmon.cfg
C:\Program Files\NetMeeting\ravzxmon.dat
C:\Program Files\NetMeeting\ravzxmon.exe
C:\Windows\DiskMan32.exe
C:\Windows\NVDispDrv.exe
C:\Windows\system32\7.exe
C:\Windows\system32\8.exe
C:\Windows\system32\9.exe
C:\Windows\system32\avpms.cfg
C:\Windows\system32\avpms.dll
C:\Windows\system32\avpqqsg.cfg
C:\Windows\system32\avpqqsg.dll
C:\Windows\system32\DiskMan32.dll
C:\Windows\system32\msavp.dll
C:\Windows\system32\mscomm.dll
C:\Windows\system32\NVDispDrv.dll
C:\Windows\system32\TesSafe.sys
C:\Windows\system32\xyupri0.dll
手工删除注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{DiskMan32}{C:\winnt\DiskMan32.exe} []
{NVDispDrv}{C:\winnt\NVDispDrv.exe} []
{ravytmon}{C:\Program Files\NetMeeting\ravytmon.exe} []
{ravzxmon}{C:\Program Files\NetMeeting\ravzxmon.exe} []
{WinSysM}{C:\winnt\IGM.exe} [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\winnt\system32\xyupri0.dll} []
{{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}}{C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys} []
服务
[Performance Logs and Ale / Windows][Stopped/Auto Start]
{C:\winnt\system32\servet.exe}{N/A}
使用木马清除大师2008全盘扫描可以完整清除此木马.
|
