关于logo_1.exe SYSTEM32.vxd SYSTEM32.dat病毒的解决 -

运行样本..分析：

释放文件

Code:

C:\WINDOWS\system\logo_1.exe
C:\WINDOWS\system\SYSTEM32.vxd
C:\WINDOWS\system\SYSTEM32.dat

每个盘根目录下生成(电脑软硬件应用网解决办法详解：清除每个盘根目录下以下文件，如遇提示不能删除建议用强制删除工具 PowerRMV进行强制删除，以下类同 )

Code:

X:\go.exe
X:\autorun.inf

写入注册表（电脑软硬件应用网解决办法详解：用工具 SREng 删除如下各项）

Code:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"ntaskldr"="C:\WINDOWS\system\logo_1.exe"

Code:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ntaskldr"="C:\WINDOWS\system\logo_1.exe"

最恶心的部分介绍下..

Code:

logo_1.exe 运行后调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\system\SYSTEM32.vxd.dat

X为某个盘..

运行命令后感染X盘里的所有 .exe 文件...

感染后还会释放一个同名文件后辍为 .exe.tmp

Code:

system volume information
recycled

这俩个文件夹内的.exe文件..感染后释放的同名文件后辍为 .exe.dat

如果中毒的电脑打开我的电脑时.. logo_1.exe 会连网下载⒏个木马程序.
分别为:

Code:

C:\WINDOWS\system\jwm.exe
C:\WINDOWS\system\mhh.exe
C:\WINDOWS\system\ztd.exe
C:\WINDOWS\system\mir.exe
C:\WINDOWS\system\wo3.exe
C:\WINDOWS\system\ienet.exe
C:\WINDOWS\system\wol.exe
C:\WINDOWS\system\wll.exe

被感染的文件..头部写入: 19,738 字节尾部写入:5 字节

Code:

地址=00407F80
反汇编=MOV EDX,2_.0040847C
文本字串=瑞星卡巴金山诺盾爱老虎油！！！！！！

需要注意的事：杀毒前关闭系统还原(Win2000系统可以忽略）：右键我的电脑，属性，系统还原，在所有驱动器上关闭系统还原打勾即可。

清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮，将删除所有脱机内容打勾，点确定删除。

以上提到的的软件均可到百度搜索下。

引用通告地址 (0)：
复制引用地址

http://www.pxue.com/trackback.asp?tbID=867
复制引用地址

http://www.pxue.com/trackback.asp?tbID=867&CP=GBK


COPYRIGHT © 飘雪工作室 WWW.PXUE.COM ALLRIGHTS RESERVED	Processed in 0.093750 second(s) , 15 queries
粤ICP备05001034号