病毒名称:Trojan.DL.Win32.Agent.zjh病毒样本文件名称:niu.exe样本文件大小:62976字节感染过程:运行病毒样本程序niu.exe,病毒会在所有分区根目录中释放病毒文件n
.
病毒名称:Trojan.DL.Win32.Agent.zjh
病毒样本文件名称:niu.exe
样本文件大小:62976字节
感染过程:
运行病毒样本程序niu.exe,病毒会在所有分区根目录中释放病毒文件niu.exe和autorun.inf,如下图:
文件夹的显示隐藏文件属性被锁定:
在系统目system32录中释放病毒文件reg.exe并启动大量进程
安全软件被强行关闭
安全模式无法进入,进入时呈现蓝屏现象:
磁盘盘符无法直接双击打开:
利用File Monitor检测发现autorun.inf的保护进程CRSSS.EXE
检测清理过程:
首先使用IceSword结束病毒进程crsss.exe和reg.exe
由于reg.exe病毒进程会反复重启,所以在结束病毒进程前需要勾选IceSword的“禁止进线程创建”选项来禁止系统新的进程创建
结束进程后,进入C:/WINDOWS/system32目录中找到的病毒文件
使用IceSword对文件进行强制删除
删掉硬盘跟目录中的自动播放文件
去掉劫持项:
病毒清理完成后需要对系统进行修复,无法进入安全模式可以直接将相应注册表键值导入即可。
.
