soundmno.exe,ntldr.exe,TxHMoU.Exe,soS.Exe查杀
前一段时间,电脑突然变看, 发现进程里多了个TxHMoU.Exe!
感觉不对竟,马上用在线杀毒http://www.antidu.cn/board/online,瑞星报毒!!!
马上动手来杀!
病毒简要分析
1.病毒运行后,衍生如下副本:
%systemroot%system32AuToRUN.Inf
%systemroot%system32TxHMoU.Exe
在每个分区根目录下面生成AuToRUN.Inf和soS.Exe,达到通过U盘等移动存储传播的目的。
2.不断调用reg.exe进行相关的系统破坏,其中包括
(1)添加自身启动项目
(2)禁用Windows自动更新
(3)禁用任务管理器
(4)破坏显示隐藏文件
(5)不显示文件扩展名
3.遍历磁盘分区删除gho文件
4.感染所有磁盘分区的遍历所有磁盘分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件,并在其尾部加入ieframe代码
5.连接网络下载3个txt文本文档,并把它们保存到%systemroot%system32下面命名为FSEz.COM,FSEx.COM,FSEc.COM,FSEv.COM,FSEb.COM等
这三个文本文档一般分别为
http://*/url.txt
http://*/IE.txt
http://*/table.txt
其中
IE.txt为锁定的主页的列表
table.txt为关闭指定窗口的关键字列表
url.txt为下载的木马列表
且table.txt,IE.txt会每隔几秒下载一次检查是否有更新..
之后会读取IE.txt的中的内容(里面一般为一个网址)
目前为http://main.94ak.com
之后病毒则会把IE主页锁定为http://main.94ak.com ,且使得Internet选项中主页设定项变灰。
table.txt为病毒试图关闭的窗口关键字列表
之后会读取url.txt下载一系列木马和病毒
其中有目前比较流氓的机器狗病毒(破坏还原卡,替换userinit.exe)
清除办法:
需要下载的工具:
1.sreng http://www.antidu.cn/board/helpst/
强烈建议对病机断网隔离并拔掉机器上的移动存储设备再进行查杀!
一.清除病毒主程序TxHMoU.Exe
1.打开sreng
启动项目 注册表
删除
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
{crsss}{%systemroot%system32TxHMoU.Exe} []
重启计算机
打开sreng
系统修复 - Windows Shell/IE 全选 点击修复
之后双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统盘(假设在C盘)
删除%systemroot%system32TxHMoU.Exe
C:soS.Exe
C:autorun.inf
%systemroot%system32FSEb.COM
%systemroot%system32FSEc.COM
%systemroot%system32FSEx.COM
%systemroot%system32TxHMoU.Exe
同理 从左边的资源管理器中单击打开其它盘
删除soS.Exe,autorun.inf
二.清除病毒下载的木马(由于病毒服务器上的木马群会随时变化,所以此方法仅供参考)
进入安全模式,删除:
%Program Files%Internet ExplorerPLUGINSSy_Win7k.Jmp
%Program Files%Internet ExplorerPLUGINSWn_Sys8x.Sys
%systemroot%608769MM.DLL
%systemroot%608769WL.DLL
%systemroot%cmdbcs.exe
%systemroot%LotusHlp.exe
%systemroot%MsPrint32D.exe
%systemroot%SSLDyn.exE
%systemroot%system32avwghmn.dll
%systemroot%system32avwghst.exe
%systemroot%system32avwlgmn.dll
%systemroot%system32avwlgst.exe
%systemroot%system32avzxkmn.dll
%systemroot%system32avzxkst.exe
%systemroot%system32cmdbcs.dll
%systemroot%system32driverscomint32.sys
%systemroot%system32driverssvchost.exe
%systemroot%system32edxqmewogy.dll
%systemroot%system32FTCCompress.dll
%systemroot%system32gdjzi32.dll
%systemroot%system32kaqhlaz.exe
%systemroot%system32kaqhlzy.dll
%systemroot%system32kawdfaz.exe
%systemroot%system32kawdfzy.dll
%systemroot%system32kvdxjisa.exe
%systemroot%system32kvdxjma.dll
%systemroot%system32kvdxskis.exe
%systemroot%system32kvdxskma.dll
%systemroot%system32LotusHlp.dll
%systemroot%system32LYLOADER.EXE
%systemroot%system32LYMANGR.DLL
%systemroot%system32MSDEG32.DLL
%systemroot%system32MsPrint32D.dll
%systemroot%system32msqdlsl32.dll
%systemroot%system32
atbopi.dll
%systemroot%system32
atbotl.exe
%systemroot%system32REGKEY.hiv
%systemroot%system32sidjhaz.exe
%systemroot%system32sidjhzy.dll
%systemroot%system32SSLDyn.dll
%systemroot%system32TxHMoU.Exe
%systemroot%system32upxdnd.dll
%systemroot%system32vvneypgwnevm.dll
%systemroot%system32wszjdax.exe
%systemroot%system32wszjdzx.dll
%systemroot%upxdnd.exe
重启计算机后
打开sreng
删除上述对应的启动项目
三.清理机器狗病毒
1.清理机器狗病毒的驱动程序
本次涉及到的是%systemroot%system32driverspcihdd.sys
方法使用Xdelbox直接删除该文件即可
2.其次机器狗病毒清理的关键是把被感染的userinit.exe替换回来。
注意:清理该病毒一定不要使用杀毒软件,因为杀毒软件会盲目的将userinit.exe删除而导致重启计算机后登陆就注销,所以一旦杀毒软件报警userinit.exe是病毒,一定要选择忽略!
请按照下面步骤操作将userinit.exe替换回来
首先打开任务管理器 查看是否有userinit.exe进程
有则结束它
从其他相同系统的机器中找一个userinit.exe分别复制到%systemroot%system32dllcache和%systemroot%system32替换原先的文件(注意,先覆盖%systemroot%system32dllcache中的)
如果出现文件保护的对话框,点击是即可
四.由于病毒感染htm等网页文件
