ntldr - ntldr.exe - 进程信息
进程文件: ntldr 或者 ntldr.exe
进程名称: 未知N/A
描述:
ntldr.exe是病毒相关程序。该木马允许攻击者访问你的计算机,窃取密码和个人数据。
出品者: 未知N/A
属于: 未知N/A
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
间谍软件: 否
广告软件: 否
病毒: 是
木马: 是
前一段时间,电脑突然变看, 发现进程里多了个ntldr.exe!
感觉不对竟,马上用在线杀毒http://www.antidu.cn/board/online,
果然,瑞星报毒!!!
马上动手来杀!
该病毒属于蠕虫类,主要依靠U盘传播,运行后有如下行为:释放副本到windows 文件夹的fonts目录下,在磁盘的每个根目录下衍生副本和autorun.inf用于双击磁盘 时启动该病毒;添加注册表实现开机自启动,添加注册表对安全软件映像劫持;遍历 磁盘感染除系统以外的exe文件;连接网络下载病毒到临时文件夹下;该病毒功能很 多,清除起来并不容易,属于危害等级较高的病毒。
本地行为:
1、文件运行后会释放以下文件:
%DriverLetter%
tldr.exe 19,124字节
%DriverLetter%autorun.inf 85字节
%Windir%Fontssystemati2evxx.exe19,124字节
2、感染本地除系统文件夹以外的exe文件:
在exe文件的尾部添加名为.ani一个节,改变文件的大小,
以下为添加到新节的代码:
3、新增注册表:
添加注册表启动项,实现自启动
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%Fontssystemati2evxx.exe"
描述:添加自启动
添加注册表对安全软件映像劫持
查杀方法
(PS:杀毒工具下载:http://www.antidu.cn/board/helpst/)
(1)关闭病毒进程。
(2)删除病毒文件:
( 怕麻烦的朋友可以去下载个专杀工具 http://www.antidu.cn/board/zsst/ )
%DriverLetter%
tldr.exe
%DriverLetter%
tldr.exe
%Windir%Fontssystemati2evxx.exe
%Temporary Internet Files%�0001[1].exe
%Temporary Internet Files%�0002[1].exe
%Temporary Internet Files%�00031].exe
%Temporary Internet Files%�0004[1].exe
%Temporary Internet Files%�0005[1].exe
%Temporary Internet Files%�0006[1].exe
%Temporary Internet Files%�0007[1].exe
%Temporary Internet Files%�0008[1].exe
%Temporary Internet Files%�0009[1].exe
%Temporary Internet Files%�0010[1].exe
%Temporary Internet Files%�0011[1].exe
%Temporary Internet Files%�0012[1].exe
%Temporary Internet Files%�0013[1].exe
%Temporary Internet Files%�0015[1].exe
%Temporary Internet Files%�0016[1].exe
%Temporary Internet Files%�0017[1].exe
%Temporary Internet Files%�0023[1].exe
%Temporary Internet Files%host[1].exe
%Temporary Internet Files%wdlm[1].exe
%Temporary Internet Files%soundma[1].exe
%Temporary Internet Files%lmmy[1].exe
%Temporary Internet Files%lmmh[1].exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%Fontssystemati2evxx.exe"
描述:添加自启动
==============
凝逸反毒.修复艾妮(NTLDR.EXE)感染
http://hi.baidu.com/503165656/blog/item/971b0ef563fed620bc31095c.html
救援编号: 0001
样本提供: 爱丄爱
启始时间: 20080509 16:00
完成时间: 20080509 21:00
感染引擎: 修复艾妮(NTLDR.EXE)感染
引擎作者: 凝逸
病毒名: 艾妮.irus.Win32.AutoRun.aik,NTLDR.EXE病毒变种
功能: 修复NTLDR.EXE感染的EXE
防御: 防御与杀除NTLDR.EXE