ntldr.exe病毒查杀方法

灰儿发表于 2007-12-28 17:20:08

最近流行ntldr.exe病毒。我杀了2天才杀完。 1。中病毒后有以下状态出现 电脑运行变慢，部分程序打不开。。 2。查看是否中病毒的方法 在我的电脑里，工具--文件夹选项-显示隐藏系统文件，然后在每个盘查看是否多了2个文件 ntldr.exe和autorun.inf 或者在进程管理器查看是否有conime.exe 和soundmno.exe以及其他n多程序 如果是恭喜你。。中了病毒   3。技术细节：    1.病毒运行后，衍生如下副本： C:\WINDOWS\system\soundmno.exe 在每个磁盘分区根目录下释放ntldr.exe和autorun.inf达到通过移动存储传播的目的   2.创建注册表启动项目 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe" 达到开机启动的目的 在HKLM\SOFTWARE下面创建logogo子键，用以记录病毒安装成功的信息。3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目，指向病毒本身。 （与之前病毒变种相同）4.感染exe文件并跳过部分exe文件 CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe... （与之前病毒变种相同） 和某些文件夹中的文件 windows winnt recycler  system volume information Common Files Internet Explorer Windows NT并跳过感染有exe文件中有ani区段的文件被感染文件尾部被加入一个名为.ani的节。5.连接网络下载木马 读取<a target=_blank href="http://*:1433/xin.jpg">http://*:1433/xin.jpg</a>的下载列表 然后下载<a target=_blank href="http://*:1433/mylm.exe">http://*:1433/mylm.exe</a> <a target=_blank href="http://*:1433/mhlm.exe">http://*:1433/mhlm.exe</a> <A TARGET=_blank HREF=http://l.6u6.biz/00001.exe~http://l.6u6.biz/00010.exe>http://l.6u6.biz/00001.exe~http://l.6u6.biz/00010.exe</A> <a target=_blank href="http://*:1433/00011.exe~http://*:1433/00014.exe">http://*:1433/00011.exe~http://*:1433/00014.exe</a> 到%systemroot%\system下面 并以SYSTEM128.tmp作为下载文件过程中的临时文件6.病毒同时会获得当前机器名，操作系统版本，MAC地址等信息并把信息发送给指定地址病毒木马植入完毕后的sreng日志如下： 启动项目 注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run {TBMonEx}{C:\WINDOWS\system\soundmno.exe}   [] {inudhya}{C:\WINDOWS\system\soundma.exe}   [] {WinForm}{C:\WINDOWS\WinForm.exE}   [] {AppInit_DLLs}{kvdxsjma.dll}   [] {{59502416-6436-4CE9-BC06-3C1156FC3542}}{\\?\C:\WINDOWS\system32\myad.nls}   [] {{AD561258-45F3-A451-F908-A258458226DA}}{C:\WINDOWS\system32\kvdxsjma.dll}   [] {{9E32FA58-3453-FA2D-BC49-F340348ACCE9}}{C:\WINDOWS\system32\rsmyipm.dll}   [] {{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}}{C:\WINDOWS\system32\wsmsezx.dll}   [] {{F2CEA371-1442-4F42-900F-97C479F406DB}}{C:\WINDOWS\system32\hursax.dll}   [] {{9963387B-212E-4643-B207-82DAEA0E713D}}{C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys}   [] {{5598FF45-DA60-F48A-BC43-10AC47853D55}}{C:\WINDOWS\system32\rarjepi.dll}   [] {{8A1247C1-53DA-FF43-ABD3-345F323A48D8}}{C:\WINDOWS\system32\avwghmn.dll}   [] {{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{C:\WINDOWS\system32\kvdxjma.dll}   [] {{D34345F1-DACF-3452-CB7D-4620F34A153D}}{C:\WINDOWS\system32\rsztmpm.dll}   [] {{64783410-4F90-34A0-7820-3230ACD05F46}}{C:\WINDOWS\system32\raqjfpi.dll}   [] {{A859245F-345D-BC13-AC4F-145D47DA34FA}}{C:\WINDOWS\system32\avzxjmn.dll}   [] {IFEO}{C:\WINDOWS\system\soundmno.exe}   [] {IFEO}{C:\WINDOWS\system\soundmno.exe}   [] ...================================== 浏览器加载项 []    {9963387B-212E-4643-B207-82DAEA0E713D} {C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A} ================================== 正在运行的进程          [\\?\C:\WINDOWS\system32\myad.nls]                                    ================================== Autorun.inf OPEN=ntldr.exe shellexecute=ntldr.exe shell\打开(&O)\command=ntldr.exe...解决办法： 下载sreng:http://download.kztechs.com/files/sreng2.zip Xdelbox:http://www.dodudou.com/down/里面的原创软件文件夹下首先重启计算机进入安全模式下(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统) 分别解压Xdelbox和sreng (注意：如果winrar也被感染，请重装winrar后再解压文件,推荐重装winrar)1.打开sreng 启动项目注册表删除如下项目 {TBMonEx}{C:\WINDOWS\system\soundmno.exe}   []并删除所有红色的IFEO项目2.解压Xdelbox所有文件到一个文件夹 在添加旁边的框中分别输入（实际情况不一定与此相同，因为木马随时会变化） C:\Program Files\Internet Explorer\PLUGINS\Sy_Win7k.Jmp C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys C:\WINDOWS\system\inudhya.dll C:\WINDOWS\system\mhlm.exe C:\WINDOWS\system\mylm.exe C:\WINDOWS\system\soundma.exe C:\WINDOWS\system\soundmno.exe C:\WINDOWS\system32\avwghin.dll C:\WINDOWS\system32\avwghmn.dll C:\WINDOWS\system32\avwghst.exe C:\WINDOWS\system32\avzxjmn.dll C:\WINDOWS\system32\avzxjst.exe C:\WINDOWS\system32\hursax.dll C:\WINDOWS\system32\kvdxjis.exe C:\WINDOWS\system32\kvdxjma.dll C:\WINDOWS\system32\kvdxsjis.exe C:\WINDOWS\system32\kvdxsjma.dll C:\WINDOWS\system32\raqjfpi.dll C:\WINDOWS\system32\raqjftl.exe C:\WINDOWS\system32\rarjepi.dll C:\WINDOWS\system32\rarjetl.exe C:\WINDOWS\system32\rsmyifg.dll C:\WINDOWS\system32\rsmyipm.dll C:\WINDOWS\system32\rsmyisp.exe C:\WINDOWS\system32\rsztmpm.dll C:\WINDOWS\system32\rsztmsp.exe C:\WINDOWS\system32\WinForm.dll C:\WINDOWS\system32\wsmseax.exe C:\WINDOWS\system32\wsmsezx.dll C:\WINDOWS\WinForm.exE（第一步为处理病毒下载的木马的步骤，实际操作中不一定与其完全相同）输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中 然后一次性选中（按住ctrl)下面大框中所有的文件 右键单击点击重启立即删除3.重启计算机后 双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定 点击菜单栏下方的文件夹按钮（搜索右边的按钮） 在左边的资源管理器中单击打开每个盘删除各个盘根目录下的ntldr.exe和autorun.inf4.打开sreng 删除上述对应的启动项目浏览器加载项目5.使用杀毒软件全盘杀毒以修复被感染的exe文件 注意重新安装系统并不能解决完全杀毒，假如其他盘的程序被感染后，一旦运行该程序，病毒利马又会被重新写入C盘系统盘。。。以上办法是网上找的比较麻烦。我的方法是以下1。下载木马清道夫木马杀毒软件，或着卡把司机（不要下载其他杀毒软件，其他杀毒软件，安装后无法运行，）先不要安装，然后重新安装系统，安装清道夫木马杀毒软件，安全模式下进行其他盘杀毒。。。或者直接手动每个盘直接杀掉那2个文件， 2。杀完毒，并不代表病毒被杀掉，因为病毒杀毒程序无法查到被感染的程序和文件，只能查到ntldr.exe和autorun.inf这2个文件，如果清道夫和卡巴被感染了，不能打开，就修复一下就可以了。。。。 3。当运行莫个程序的时候，清道夫提示病毒，此程序不能在用了，马上卸载，重装。。。。 4。如何查找被感染的程序，可以打开1.打开sreng，启动项目查找所有红色的IFEO项目对应的程序，然后卸载被感染的程序。。。 5。浏览器一定要重装。。因为浏览器一定被感染 6.如果在不行,把电脑里面的重要文件(除EXE文件外)进行压缩,因为压缩文件不会被感染,当然RAR压缩程序要重新下载,压缩工具会被感染...然后转移,全盘格式化 这是我个人杀毒经验。

页: [1]

管理员之家 - 网站管理员、站长技术与运营交流平台！'s Archiver

ntldr.exe病毒查杀方法