最新U盘病毒msinfmgr.exe清除与防范

最新U盘病毒msinfmgr.exe清除与防范(我刚刚试过第一种方法OK!)
最新U盘病毒！！
msinfmgr.exe
近几周，在不少高校的电脑上都发现了一个名叫msinfmgr.exe和Autorun.inf的文件，并且通过U盘快速传播，小陌对此样本作了一些分析，仅供广大网友参考。同时近期通过u盘传播的病毒出现频率增多，提醒广大网友小心。
在不少电脑上都发现了一个名叫msinfmgr.exe和Autorun.inf的文件，并且通过U盘快速传播
相关资料：
病毒名：Trojan-Spy.Win32.KeyLogger.jc（AVP）
病毒别名：Trojan.Spy.Agent.akn（瑞星）、TrojanSpy.Keylogger.ca（江民）
文件大小：106,496字节
CRC32：D5A411D7
MD5:daf145d0a560ae44dd132dff5acb2a80
编写语言：C++
发作现象：
生成msinfmgr.exe、msinfmgr.dll、msinfomgr.sys，通过U盘传播，在U盘中生成msinfmgr.exe和Autorun.inf。
技术资料：
1. 在注册表中创建0xbe8e2ce1, 0xdab6, 0x11d6, 0xad, 0xd0, 0x0, 0xe0, 0x4c, 0x53, 0xf6, 0xe6互斥量。
2. 创建以下键值：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msinflogon
"Startup"="logon_startup"
"Impersonate"=""
"DllName"="msinfdll.dll"
"Asynchronous"=""
HKLM\System\CurrentControlSet\Services\msinfmgr
"Type"=""
"ErrorControl"=""
"Start"=""
"DisplayName"="msinfmgr"
"ImagePath"="\%system32%\drivers\msinfomgr.sys"
3. 创建以下文件：
C:\%SYSTEM32%\msinfmgr.exe——Trojan-Spy.Win32.KeyLogger.jc（AVP）
C:\%SYSTEM32%\msinfdll.dll（57,344字节）——Trojan-Spy.Win32.KeyLogger.jc（AVP）
C:\%SYSTEM32%\drivers\msinfomgr.sys（9,728字节）——Rootkit.Win32.Agent.bo（AVP）
D:\msinfmgr.exe（同上）
D:\Autorun.inf（83字节）
4. 往U盘里复制msinfmgr.exe和Autorun.inf
Autorun.inf，大小83字节，内容如下：
[AutoRun]
shell=verb1
shell\verb1\command=msinfmgr.exe -showU
shell\verb1=Open
5. msinfdll.dll的行为：
监控Active Windows Title，记录键盘[DEL] [INS] [DF] [RF] [UF] [LF] [HOME] [END] [PD] [PU] [SP] [ESC] [EN] [TAB] [BK] [F12] [F11] [F10] [F9] [F8] [F7] [F6] [F5] [F4] [F3] [F2] [F1]
此外，还收到不同CRC32和MD5的样本：
CRC32:6999E7CC
MD5:ad6e397bbddaa9483ba2c7ff029c28b5
杀毒方法：
一．手工杀毒
1 进入安全模式
2 在“开始--运行”下：regedit
3 查找msinfmgr 第一次查找到的是LEGACY_MSINFMGR
A ) 删除LEGACY_MSINFMGR。若提示“无法删除LEGACY_MSINFMGR：删除时出错” ---解决方法：选择该项右键权限—完全控制 点勾。应用，然后就可以删除了。
B）接着继续查找msinfmgr 会找到一个msinfmgr文件夹，删除。接着继续查找msinfmgr，找到就删除，直到整个注册表内都删除完毕。
4 打开我的电脑，在“工具—文件夹选项—查看”
A) 将“隐藏受保护的操作系统合文件夹”和“隐藏已知文件类型的扩展名”对勾摘掉；
B) 选择“显示所有文件和文件夹”选项，然后应用。
5 删除相关文件
A)在system32目录下：
删除msinfmgr.exe和msinfdll.dll这俩个文件，在删除msinfdll.dll时，会提示无法删除。解决方法：修改msinfdll.dll文件的后缀名为“msinfdll.txt”，这时还是不能删除，可以重启后再删除。
B)system32\drivers目录下： 删除msinfomgr.sys 。
C) 删除磁盘个分区下的msinfmgr.exe和Autorun.inf．检查所有分区是否有msinfmgr.exe和Autorun.inf这两个文件，将其全部删除。(点右键－打开－进入分区)。

二．制作bat文件，实现自动杀毒。
1 进入安全模式
2 制作bat文件，内容如下：
------------------------------------------------------------------------------------------------------------------------
taskkill /F /IM msinfmgr.exe /T
echo Windows Registry Editor Version 5.00>>antimgr.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSINFMGR]>>antimgr.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msinfmgr]>>antimgr.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSINFMGR]>>antimgr.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msinfmgr]>>antimgr.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSINFMGR]>>antimgr.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msinfmgr]>>antimgr.reg
echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msinflogon]>>antimgr.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]>>antimgr.reg
echo "NoDriveTypeAutoRun"=dword:9d000000>>antimgr.reg
reg import antimgr.reg
del antimgr.reg
del c:\windows\system32\msinfmgr.exe
del c:\windows\system32\msinfdll.dll
del c:\windows\system32\drivers\msinfomgr.sys
del c:\windows\system32\drivers\msinfklg.sys
del d:\autorun.inf
del d:\msinfmgr.exe
del e:\autorun.inf
del e:\msinfmgr.exe
del f:\autorun.inf
del f:\msinfmgr.exe
------------------------------------------------------------------------------------------------------------------------
3 运行antimgr.bat文件，重新启动系统，再运行一下antimgr.bat文件。一定要在重启后运行第二遍，否则病毒清理不干净。有时第一次运行时可能会弹出错误，是因为结束病毒进程时出的错，点确定继续就可以了。

防范方法：在u盘中建立文件夹名为Autorun.inf的文件夹。当然也可以在电脑的D盘…建立文件夹名为Autorun.inf的文件夹。