文件名稱:servet.exe
病毒類型:U盤病毒、下載者
行爲分析:
1、釋放病毒副本:%Systemroot%\system32\servet.exe
2、遍曆可用的磁盤,在其目錄生成:Autorun.inf和Servet.exe。
並每隔一段時間檢測是否有移動盤介入。
3、注冊爲系統服務,開機自啓,服務名爲Performance Logs and Ale,指向Servet.exe。
4、查找“IE執行保護"的窗口,並獲得其類名,點“允許”或“允許執行”後選“確定”。
5、每隔15秒訪問系統drivers目錄,查找klif.sys驅動,若有,則刪除。
6、修改注冊表“自動播放”鍵值,以保證U盤的自動運行性能。
7、反彈連接61.177.95.1**下載木馬,包括夢幻、魔獸、QQ等的盜號木馬。
解決方法:
下載木馬清除大師2008,使用木馬清除大師2008自帶的強制刪除工具刪除以下文件:
C:\AutoRun.inf
C:\servet.exe
D:\AutoRun.inf
D:\servet.exe
E:\AutoRun.inf
E:\servet.exe
F:\AutoRun.inf
F:\servet.exe
C:\Windows\system32\servet.exe
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\Program Files\NetMeeting\ravytmon.cfg
C:\Program Files\NetMeeting\ravytmon.dat
C:\Program Files\NetMeeting\ravytmon.exe
C:\Program Files\NetMeeting\ravzxmon.cfg
C:\Program Files\NetMeeting\ravzxmon.dat
C:\Program Files\NetMeeting\ravzxmon.exe
C:\Windows\DiskMan32.exe
C:\Windows\NVDispDrv.exe
C:\Windows\system32\7.exe
C:\Windows\system32\8.exe
C:\Windows\system32\9.exe
C:\Windows\system32\avpms.cfg
C:\Windows\system32\avpms.dll
C:\Windows\system32\avpqqsg.cfg
C:\Windows\system32\avpqqsg.dll
C:\Windows\system32\DiskMan32.dll
C:\Windows\system32\msavp.dll
C:\Windows\system32\mscomm.dll
C:\Windows\system32\NVDispDrv.dll
C:\Windows\system32\TesSafe.sys
C:\Windows\system32\xyupri0.dll
手工刪除注冊表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{DiskMan32}{C:\winnt\DiskMan32.exe} []
{NVDispDrv}{C:\winnt\NVDispDrv.exe} []
{ravytmon}{C:\Program Files\NetMeeting\ravytmon.exe} []
{ravzxmon}{C:\Program Files\NetMeeting\ravzxmon.exe} []
{WinSysM}{C:\winnt\IGM.exe} [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\winnt\system32\xyupri0.dll} []
{{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}}{C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys} []
服務
[Performance Logs and Ale / Windows][Stopped/Auto Start]
{C:\winnt\system32\servet.exe}{N/A}
使用木馬清除大師2008全盤掃描可以完整清除此木馬.
|
