引用第3楼huangmao于2007-11-12 22:17发表的 :高手们哪里去了??
引用第2楼lpx123于2007-11-12 22:14发表的 :那是病毒吗。。。。我的也有啊。。。。
logogo.exe病毒昨天才拿到样本 - - ! (样本还真难拿) 由于样本过少 可能分析不全面 因此参考了网络了信息 综合分析如下: 病毒文件名: logogo.exe 大小: 23151 ~~~27034 bytes MD5: 2FE74B4FADECC310DF67560665C2E04E SHA1: 218E8821E78A581B58985A600971F34EA5FD8576 CRC32: 8A4A3ED5 病毒行为分析: 生成进程: ------logogo.exe , ------1_.ii 生成如下文件: ------C:\WINDOWS\system\logogo.exe ------%systemroot%\win.log ------c:\windows\system\inudhya.dll ------c:\windows\system32\ldf252.dll ------在每个分区下面生成setup.exe和autorun.inf -------自动连接网络,下载生成以下木马: C:\WINDOWS\system\ 文件夹下 4位或者5位字母组成的EXE文件 例如;2222.exe,20000.exe等 感染生成以下文件: C:\Program Files\NetMeeting\ravmsmon.dat C:\Program Files\NetMeeting\ravmsmon.exe C:\WINDOWS\system32\***ins.exe C:\WINDOWS\system32\***pri.dll C:\WINDOWS\system32\***ini.dll C:\WINDOWS\system32\kvmxacf.dll C:\WINDOWS\system32\kvmxbis.exe C:\WINDOWS\system32\kvmxbma.dll C:\WINDOWS\system32\mxbcfg.dll C:\WINDOWS\system32\***man.dll C:\WINDOWS\system32\ntaskldr.exe C:\WINDOWS\system32\WinForm.dll C:\WINDOWS\WinForm.exe 改变注册表: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\NoAutoUpdate [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <logogo><C:\WINDOWS\system\logogo.exe> [] <WinForm><C:\WINDOWS\WinForm.exe> [] <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><jhbpri.dll> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll> [] <{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll> [] <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll> [] 手动删除办法: 一、修复注册表 开始--运行--输入REGEDIT 删除以下子项: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <logogo><C:\WINDOWS\system\logogo.exe> <WinForm><C:\WINDOWS\WinForm.exe> <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><jhbpri.dll> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll> <{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll> <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll> HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\NoAutoUpdate 2;清除病毒文件 把下面的内容保存成 a.reg 文件后,双击导入注册表(显示隐藏文件) Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" 删除C:\WINDOWS\system\logogo.exe 以及该文件夹下的2222.exe~9999.exe 10000.exe~20000.exe 删除系统盘根目录下的setup.exe autorun.inf 右键右键点击其他盘------“打开” ----E、F、G盘 删除根目录: setup.exe以及 autorun.inf 3:杀毒软件配合360扫描查杀残留病毒文件 4.修复受感染的exe文件 被感染的exe文件用 dr.web cureit 官方中文版修复 下载地址: http://dl.pconline.com.cn/html_2/1/66/id=40056&pn=0.html ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
引用第7楼惊羽九天于2007-11-12 22:19发表的 :在外网找的,结果如下
