新的U盘病毒变种

yzhenyhuan

最近我周围的很多人都中了一种新的U盘病毒，由于卡巴斯基解决的不彻底，造成很多人U盘被迫格式化，损失很大~~~

症状：插入U盘后，卡巴斯基会报警，瑞星无反应，卡巴斯基提示病毒已清除，但U盘无法打开，使用右键打开系统提示出错。反复插拔U盘无效。若没有打开杀毒软件，则U盘可进入，但系统已染毒。

中毒后系统症状：进程中SYSTEM用户名下有两个lsass.exe进程，其中一个为假的，以登陆名下多了一个随机进程，目前已知的有WISPTIS.exe，rundll32.exe，可能是不同的变种。C盘根目录下出现：autorun.inf和autoruan的快捷方式，大小为137k。

病毒特点：该病毒可删除U盘下的autorun.inf文件夹，所以以前的防病毒方法不可用了，即使没有打开U盘，系统已经中毒~~~~这个很决~~~~杀毒软件不报~~这个很令人郁闷，很多人中毒很久了都不知道~~~~

解决方案：和病毒周旋了一阵后，总算找出了解决的办法

1、结束WISPTIS.exe或rundll32.exe进程（视你的电脑中的哪个变种为准），删除c:\windows下的对应文件。

2、将c:\windows下的lsass.exe剪切出来（注意：它的图标是空白，和系统的有区别，系统的这个程序在system32文件夹下）。特别注意，只能剪切，删除是删不掉的~~~

3、将c盘下的autorun.inf和autoruan的快捷方式删除。

4、重新启动电脑，OK了

预防方案：U键打开不再保险，正确操作是：插入U盘后，按住shift不放，直到U盘安装完毕，右键，如果出现两个“打开”，或者出现自动播放字样，很好，这个U盘有毒~~~第二个打开是可用的，第一个点击则中毒~~~~

紧急情况下临时处理办法：若U盘已无法打开，里面又有重要文件，可以使用:右键——搜索——不输入文件名直接搜索，就可以看到自己想要的文件了，复制出来先~~~~


以上为原创~~~~在网上没搜到相关信息，就自己写了，希望能给大家点帮助~~~

冷杉

感谢分享，支持楼主！！！

deadend1984

两个lsass.exe   不是落雪么?

chenxibei2006

又学了新东东.

谢谢告知，要注意的！

cxcx3

不是有免疫的东东么

yzhenyhuan

免疫不了了~~~~似是落雪，但传播方式有变化，我也很奇怪，病毒隐藏成快捷方式的样子~~~~即.pif格式，文件大小一般是137k~~~由于手头上工具不多，没分析就杀掉了，无法确定是什么病毒了，但这种能自动删除根目录下名字为autorun.inf的文件夹的病毒还是第一次见~~~以前就是靠建立这样一个文件夹来免疫的，现在没用了~~~

deadend1984

应该弄个样本   给版主分析一下

dikex

自动播放早就应该关闭了；
删除文件嘛……UNLOCKER

cxcx3

原帖由 yzhenyhuan 于 2007-3-30 16:45 发表
免疫不了了~~~~似是落雪，但传播方式有变化，我也很奇怪，病毒隐藏成快捷方式的样子~~~~即.pif格式，文件大小一般是137k~~~由于手头上工具不多，没分析就杀掉了，无法确定是什么病毒了，但这种能自动删除根目录 ...

额滴个乖乖~~~~  居然还升级了