标题:

 :logogo新变种

欢迎光临 午时栏社区 高先网络    QQ远程协助留言  反回首页
软件学习使用栏目   病毒分析查杀栏目   中小学幼儿栏目  英语会话栏目 
 

  logogo新变种

==============================================================       

EXE文件都被隔离,在安全模式删了还是不行,每个系统盘都有个AUTORUN.INF文件和NTLDR.EXE文件,注册表多了一个C:\WINDOWS\system\36Otray.exe,都在安全模式下删了,但一重启就有。
-------------------------------------------
logogo新变种
1.病毒运行后,衍生如下副本:
C:\WINDOWS\system\soundmno.exe
在每个磁盘分区根目录下释放ntldr.exe和autorun.inf达到通过移动存储传播的目的。

2.创建注册表启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe"
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。

3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目,指向病毒本身。

4.感染exe文件 并跳过部分exe文件
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe...
windows
winnt
recycler
system volume information
Common Files
Internet Explorer
Windows NT

并跳过感染有exe文件中有ani区段的文件在被感染文件尾部被加入一个名为.ani的字节。

5.连接网络下载木马
读取http://*:1433/xin.jpg的下载列表
然后下载http://*:1433/mylm.exe
http://*:1433/mhlm.exe
http://l.6u6.biz/00001.exe~http://l.6u6.biz/00010.exe
http://*:1433/00011.exe~http://*:1433/00014.exe
到%systemroot%\system下面并以SYSTEM128.tmp作为下载文件过程中的临时文件。

6.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息 并把信息发送给指定地址。

解决办法:
下载sreng、Xdelbox
首先重启计算机进入安全模式
(注意:如果winrar也被感染,请重装winrar后再解压文件,推荐重装winrar)

1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{TBMonEx}{C:\WINDOWS\system\soundmno.exe}
并删除所有红色的IFEO项目
2.解压Xdelbox所有文件到一个文件夹
在 Xdelbox中 分别输入(实际情况不一定与此相同,因木马会随机变化)
C:\Program Files\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system\inudhya.dll
C:\WINDOWS\system\mhlm.exe
C:\WINDOWS\system\mylm.exe
C:\WINDOWS\system\soundma.exe
C:\WINDOWS\system\soundmno.exe
C:\WINDOWS\system32\avwghin.dll
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\avwghst.exe
C:\WINDOWS\system32\avzxjmn.dll
C:\WINDOWS\system32\avzxjst.exe
C:\WINDOWS\system32\hursax.dll
C:\WINDOWS\system32\kvdxjis.exe
C:\WINDOWS\system32\kvdxjma.dll
C:\WINDOWS\system32\kvdxsjis.exe
C:\WINDOWS\system32\kvdxsjma.dll
C:\WINDOWS\system32\raqjfpi.dll
C:\WINDOWS\system32\raqjftl.exe
C:\WINDOWS\system32\rarjepi.dll
C:\WINDOWS\system32\rarjetl.exe
C:\WINDOWS\system32\rsmyifg.dll
C:\WINDOWS\system32\rsmyipm.dll
C:\WINDOWS\system32\rsmyisp.exe
C:\WINDOWS\system32\rsztmpm.dll
C:\WINDOWS\system32\rsztmsp.exe
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\wsmseax.exe
C:\WINDOWS\system32\wsmsezx.dll
C:\WINDOWS\WinForm.exE
(这一步为处理病毒下载的木马的步骤,实际操作中不一定与其完全相同)
输入完一个以后 点击旁边的添加 [按钮] 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件右键 [单击] [点击] 重启立即删除。

3.重启计算机后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定点击 菜单栏下方的 [文件夹按钮](搜索右边的按钮)在左边的资源管理器中单击[打开]每个盘删除各个盘根目录下的ntldr.exe和autorun.inf

4.打开sreng 删除上述对应的启动项目 浏览器加载项目。

5.使用杀毒软件全盘杀毒以修复被感染的exe文件。

6.用系统安装盘修复被损坏的系统。

----------------------------------------------------------
另一种解决方法:

1、先下载这个:

http://www.kingzoo.com/tools/孤独更可靠/修复IFEO之XP系统专用.rar

然后按提示进行。

2、这时候杀毒软件可以运行了,全盘扫。

扫描过程中,不要运行任何程序,不然可能病毒会再回来。

3、再下载这个:

http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.com

选上抑制杀灭对象生成后填入:

C:\windows\system\C0NIME.EXE
C:\autorun.inf
C:\ntldr.exe
D:\autorun.inf
D:\ntldr.exe
E:\autorun.inf
E:\ntldr.exe
F:\autorun.inf
F:\ntldr.exe

4、然后再去下载个SREng或用注册表,删除它的启动项。

发表:2007-12-12 3:36:21  | 
     

桂ICP备05014668号