高手们帮忙啊 “logogo最新变种soundmno.exe,ntldr.exe”
根据网上关于这个病毒的说法:
“logogo最新变种soundmno.exe,ntldr.exe的分析
技术细节:
1.病毒运行后,衍生如下副本:
C:\WINDOWS\system\soundmno.exe
在每个磁盘分区根目录下释放ntldr.exe和autorun.inf达到通过移动存储传播的目的
2.创建注册表启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe"
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。
3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目,指向病毒本身。
(与之前病毒变种相同)
4.感染exe文件 并跳过部分exe文件”
我的电脑好象是中了这个病毒。每个盘下都有ntldr.exe,并且还多了一个ati2evxx.exe的文件。
在任务管理器里多出一个ati2evxx进程。进程的开启者是administator.启动项里有TBMonEx.exe。
用sreng和Xdelbox杀了2天也没有杀掉。求各位高手给个专杀的软件或指导。实在不想全盘格式化。
谢谢了!!!
日不懂啊 #2发表于 2007-12-13 17:12
把ntldr.exe压缩加密1234
发送到我邮箱,我弄弄试试
地址见签名~~
sainty #3发表于 2007-12-13 17:15
谢谢2楼的大哥先。
不过我现在在网吧上网,家里的电脑我看见就头痛了。
晚上给你传过去吧。
谢谢了!!
日不懂啊 #4发表于 2007-12-13 17:21
哦,那我明天试试
呵呵,如果干掉了,会发个帖子说下
sainty #5发表于 2007-12-14 12:36
病毒样本昨晚已经发过去了,麻烦有时间帮忙看看.谢谢了!!
[ 本帖最后由 sainty 于 2007-12-14 12:38 编辑 ]
日不懂啊 #6发表于 2007-12-14 13:25
LZ你先这样处理:(操作过程中不要双击任何分区)
1.下载附件1,运行
2.下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar
3.下载附件2,解压在桌面,双击导入
4.清理临时文件夹:
打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空临时文件夹:
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp
C:\WINDOWS\TEMP
5.扫描SRENG日志上来,我再看看,进行处理
下载 System Repair Engineer,
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来,不要修改
SRENG的使用方法在:http://forum.ikaka.com/topic.asp?board=28&artid=8270267&page=1(注意,删除服务和驱动最后一个对话框选择“否”)
sainty #7发表于 2007-12-15 19:43
楼上的大哥,以下是我扫描的报告.麻烦帮忙看看还有问题没?谢谢了!
[Copy to clipboard] [ - ]CODE:
2007-12-15,19:38:04
System Repair Engineer 2.5.16.900
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中:
所有的启动项目(包括注册表、启动文件夹、服务等)
浏览器加载项
正在运行的进程(包括进程模块信息)
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描
boozhidao #8发表于 2007-12-17 10:17
我也是这毒
