病毒行为分析:
中毒的
U盘中的自动运行文件
autorun.inf 中的内容为:
[AutoRun]
open=wscript.exe u.vbe
shell\open\Command=wscript.exe u.vbe
shell\explore\Command=wscript.exe u.vbe
shell\find\Command=wscript.exe u.vbe
用户双击中毒的
U盘后激活
u.vbe脚本,导致用双击、右键菜单、资源管理器等方式无法打开
U盘。
解决办法:
找到注册表中的以下项:
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fe02d
37c-f28e-11db-86e7-000aeb
4a4655}]
删除项目下的
shell{fe02d
37c-f28e-11db-86e7-000aeb
4a4655}。可能每个的机器上的值都不同,只要找到下面有
shell的那个字符串,把项
shell删除就可以打开
u盘。
运行了
u.bat如何处理?看看病毒作者的吧
!(
http://cyyisgood.googlepages.com/
清理说明)
本人觉得病毒作者的批处理中,最后创建
2个目录是多余的
(抑制病毒再生
?)。修改如下:
(把以下内容复制到记事本中,另存为
Qu.cmd后运行
)
@echo off
echo.
正在清理
...
setlocal ENABLEDELAYEDEXPANSION ENABLEEXTENSIONS
cd /d "%systemroot%\"
del /a /f /q "%systemdrive%\
已经被反
U盘病毒的“病毒”感染
.txt" inf.tem uda.a u.vbe uhere-*.txt "%ALLUSERSPROFILE%\「开始」菜单
\程序
\启动
\u.vbe" u.bat zap.a zap.exe uda.exe ReadMe.txt s.vbe uda-解压
.bat 主操控
.bat Anti-U盘免疫
.bat U盘病毒分析
.bat 打开发送功能
.bat
set /a n=0
set dl=CDEFGHIJKLMNOPQRSTUVWXYZ
:s
set d=!dl:~%n%,1!:
if exist %d% (cd /d %d%\&
del /a /f /q u.bat u.vbe
!uda.a
U
盘病毒分析
Beta3.exe autorun.inf *.sk)
set /a n=n+1
if not %n%==24 goto s
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v vbe /f
echo.
清理完成!建议重新启动计算机以更新设置。
echo.
按任意键退出
...
pause>nul
