资源描述:
《soundmno.exe,ntldr.exe,txhmou.exe》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、soundmno.exe,ntldr.exe,TxHMoU.Exe~教育资源库 老病毒新变种的分析之一 logogo最新变种soundmno.exe,ntldr.exe的分析 技术细节: 1.病毒运行后,衍生如下副本: C:SOFTicrosoftSOFTSOFTicrosoftCOSrv.exe CONFIG.exe Updater.exe 128.tmp作为下载文件过程中的临时文件 6.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息并把信息发送给指定地址 病毒木马植入完毕后的sreng日志如下: 启动项目 注册表
2、HKEY_LOCAL_MACHINESoftsoundmno.exe} [] {inudhya}{C:ACHINESofta.dll} [] [HKEY_LOCAL_MACHINESOFTicrosoftACHINESOFTicrosoftWindoageFileExecutionOptions360rpt.exe] {IFEO[3123下一页友情提醒:,特别!60rpt.exe]}{C:ACHINESOFTicrosofticrosoftCorporation,6.00.2900.2180(xpsp_sp2_rtm.040803-2158)]
3、[C:inudhya.dll] [N/A,] [C:32.dll] [N/A,] [?C:32myad.nls] [N/A,] [C:32kvdxsjma.dll] [N/A,] [C:32rsmyipm.dll] [N/A,] [C:32sezx.dll] [N/A,] [C:ProgramFilesInterExplorerPLUGINS32rarjepi.dll] [N/A,] [C:32hursax.dll] [N/A,] [C:32avn.dll] [N/A,] [C:32kvdxjma.dll] [N/A,] [C:32r
4、sztmpm.dll] [N/A,] [C:32avzxjmn.dll] [N/A,] [C:32raqjfpi.dll] [N/A,] ================================== Autorun.inf [C:] [AutoRun] OPEN=ntldr.exe shellexecute=ntldr.exe shell打开(O)mand=ntldr.exe... 解决办法: 下载sreng:files/sreng2.zip Xdelbox:dosoundmno.exe} [] 并删除所有红色的IFEO
5、项目 2.解压Xdelbox所有文件到一个文件夹 在添加旁边的框中分别输入(实际情况不一定与此相同,因为木马随时会变化) C:ProgramFilesInterExplorerPLUGINSSy_p C:ProgramFilesInterExplorerPLUGINSinudhya.dll C:mhlm.exe C:mylm.exe C:soundma.exe C:soundmno.exe C:32av32avn.dll C:32av32avzxjmn.dll C:32avzxjst.exe C:32hursax.dll C:3
6、2kvdxjis.exe C:32kvdxjma.dll C:32kvdxsjis.exe C:32kvdxsjma.dll C:32raqjfpi.dll C:32raqjftl.exe C:32rarjepi.dll C:32rarjetl.exe C:32rsmyifg.dll C:32rsmyipm.dll C:32rsmyisp.exe C:32rsztmpm.dll C:32rszt上一页123下一页友情提醒:,特别!msp.exe C:32.dll C:32seax.exe C:32sezx.dll C:.e
7、xE (第一步为处理病毒下载的木马的步骤,实际操作中不一定与其完全相同) 输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中 然后一次性选中(按住ctrl)下面大框中所有的文件 右键单击点击重启立即删除 3.重启计算机后 双击我的电脑,工具,文件夹选项,查看,单击选取显示隐藏文件或文件夹并清除隐藏受保护的操作系统文件(推荐)前面的钩。在提示确定更改时,单击是然后确定 点击菜单栏下方的文件夹按钮(搜索右边的按钮) 在左边的资源管理器中单击打开每个盘 删除各个盘根目录下的ntldr.exe和autorun.inf 4.打开s
8、reng 删除上述对应的启动项目浏览器加载项目 5.使用杀毒软件全盘杀毒以修
