爱毒霸社区 Kingsoft Internet Security  Forum

 找回密码
 注册

用新浪微博连接

一步搞定

QQ登录

只需一步,快速开始

查看: 36983|回复: 18

高危病毒“恐怖鸡感染号”(logogogo.exe)再度变种  关闭 [复制链接]

Rank: 6Rank: 6

铜钱
635
元宝
0
威望
1022
积分
728

枣泥月饼 豆沙月饼 安全精英 毒霸MVP勋章 技术达人 电脑清理高手 安全大师 最拉风人物

发表于 2007-11-29 13:41:43 |显示全部楼层
本周恐怖鸡感染号”病毒再度变种,使用技术与之前的logogogo.exe如出一辙。
; C6 e! N4 D" Q3 S: G! l
( l( [& A2 o6 C$ F: d2 m
病毒特征如下:5 D% y" p2 c- D) z$ P# m
5 k4 O& H; d8 |" _: _
加载常规启动项! l9 }3 t4 S& Q2 A) G5 C
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】; E2 ^8 j8 Z0 n6 A1 O
    <TBMonEx><C:\WINDOWS\system\soundmno.exe>  
$ U- @- h: i) J* M' S- x2 ~& c
(另一个变种的路径: C:\WINDOWS\system\C0NIME.EXE)
# [' U% e8 S% k4 A! r0 K在各个盘符留下病毒主文件ntldr.exe (单独运行此文件的话,病毒会通过批处理实现自删除)
# {6 W( q* z) W6 O! W进程中存在soundmno.exe或者C0NIME.EXE感染包括毒霸在内的可执行文件,劫持大量杀毒软件。
% e! M" ?  |, D2 y
1 y; y+ Q' Z) ^4 t+ a" i3 o4 Y8 T; m+ H- r( `; G- b
类似病毒的技术细节分析参考:http://bbs.duba.net/thread-21847768-1-1.html. V6 G0 U& ^/ K3 J( s. G
0 r( a8 }& a4 b, p: Y- R

5 e) Q% A: d. Z! M# e
) g+ J% T% m. U关于毒霸用户的处理方案如下:7 B# n4 i: k+ D8 ]* J- |" `. |; T* B
+ l" A/ Q) c: o8 \4 z! s
首先确认毒霸的病毒库版本是否是2007年11月17日的病毒库。确认方法如图:- B: j& a  N7 O6 i

. T" q2 J" O. ~1 G 升级时间.JPG
- M& H8 ~- P  C, L: F$ F/ H

" U( ]7 b6 F- G7 d/ _' l- U; w( ?& _, T# N) q$ f
最后升级时间为2007年11月26日,晚于2007年11月17日即可跳过此步骤。如果早于2007年11月17日的话首先手动升级病毒库,进入带命令行的安全模式处理病毒的感染特征。2 F! u7 j: V+ n# V. y' A

* J4 P1 B- s# v具体操作方法请看:http://bbs.duba.net/thread-21847545-1-1.html
" f8 u" d6 D# I# H$ r. A: f- a2 e3 W7 B6 j; c( S
5 ]1 B" }/ e0 I' m6 ~
如果已经是该病毒库日期之后的毒霸用户会有如下病毒名感染提示:6 b9 x' @9 t; U6 T" Z) z( b& N
恐怖鸡0.JPG

3 I1 I( r0 ^7 i4 w  ~; H4 V! ]
5 J. U2 R! r- r8 j
2 a1 N# I. |/ f

* B& q/ W' x; l0 p# F! W# h' F
病毒感染特征处理后可使用如下手工处理方案:
1 d# y$ P2 e: _: M0 Q8 t! W( y
0 a# c0 k# ]5 I9 C
一:结束病毒进程
5 Q1 c9 w1 d# n+ L) }$ h运行金山系统清理专家进行全面诊断,隐藏所以已知的安全项目后选择病毒进程soundmno.exe将其修复。/ F6 b. u2 M0 b& n. O* s7 |
恐怖鸡1.JPG

; G% O. l  ?5 n; m
. ~. I8 |4 G) o! o1 y  }2 \, G7 Y% ?
二:清除病毒启动项
$ T! G7 n1 ]2 d. i+ W在清理专家的启动项管理中找到病毒启动项TBMonEx后单击选择【清除该项】' k( i* W6 ^& Z2 n& W2 {
6 w# J" c" m8 H5 d! X
恐怖鸡3.JPG
1 M+ `' e+ K# s! O3 N5 X
  a% s" L+ g% e& a5 l
) G2 e+ }. d$ V/ L
三:粉碎病毒文件+ [4 C; W- O& ?  I; R/ T
打开安全百宝箱中的文件粉碎器,添加各个盘符下的病毒文件ntldr.exe并全部粉碎。
+ S  V9 V" X2 W7 ~) U  ?+ U" Z7 Y  f/ N
恐怖鸡4.JPG

- e0 s8 \# E& X7 c* [7 V4 y$ @2 T, `1 w

2 O' o1 A' O. _- e% [四:清理异常的autorun.inf和病毒破坏。
0 r1 |+ {5 }& ^& s1 F9 V: }
点击清理专家的恶意软件扫描功能,全选后清除选定项。(全选后“异常的autorun.inf”前会勾选)5 X. ?# l. \1 q9 g
2 C6 ^' C( S4 O( g# E5 f
恐怖鸡5.JPG

2 ^& v# L( ^! ^5 ]
9 N+ P; g& K1 f8 i' }4 D7 E; o3 @5 u1 G" G- n+ U$ }- A9 J
" ?' n3 j) Z. l9 e
五:重启后升级毒霸病毒库全面杀毒确保没有漏掉其他病毒
/ b( p) q" W% R) h(重启后可能没有桌面任务栏,手动加载explorer或者再重启一遍计算机即可。)! u7 y* I6 f4 D3 V
. o7 t* [" _- ^* h2 \

, h1 n- f; |+ u1 @6 S清理专家手动杀毒的参考教程如下:) ?# `$ {9 [! b* }
http://bbs.duba.net/thread-21849402-1-3.html
# ~* e- C4 E% W! }5 t5 ~; y
% T" p+ ~3 G  O& ?4 Q  i0 Q2 p
; p9 k& q' P, y/ G* F- D9 L, K
0 Z  W* J. T# U[ 本帖最后由 papa 于 2007-12-3 11:19 编辑 ]

上校

一个爱国分子

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

铜钱
201
元宝
271
威望
15385
积分
7119

枣泥月饼 豆沙月饼 星光奖 节庆图片奖

发表于 2007-11-29 18:50:07 |显示全部楼层

使用道具 举报

一级士官长

潜水艇水手

Rank: 9Rank: 9Rank: 9

铜钱
1615
元宝
141
威望
4193
积分
2123

枣泥月饼 豆沙月饼

发表于 2007-11-29 19:03:27 |显示全部楼层

使用道具 举报

Rank: 5Rank: 5

铜钱
121
元宝
145
威望
831
积分
554

枣泥月饼 豆沙月饼

发表于 2007-12-1 14:49:28 |显示全部楼层

使用道具 举报

Rank: 1

铜钱
15
元宝
0
威望
21
积分
11

枣泥月饼 豆沙月饼

发表于 2007-12-1 23:26:37 |显示全部楼层

使用道具 举报

Rank: 3Rank: 3

铜钱
135
元宝
4
威望
273
积分
142

枣泥月饼 豆沙月饼

发表于 2007-12-5 17:46:13 |显示全部楼层

使用道具 举报

Rank: 1

铜钱
1
元宝
0
威望
2
积分
1

枣泥月饼 豆沙月饼

发表于 2008-1-10 17:15:41 |显示全部楼层

使用道具 举报

Rank: 3Rank: 3

铜钱
179
元宝
0
威望
311
积分
154

枣泥月饼 豆沙月饼

发表于 2008-4-27 13:03:03 |显示全部楼层

使用道具 举报

Rank: 1

铜钱
5
元宝
0
威望
7
积分
4

枣泥月饼 豆沙月饼

发表于 2008-5-8 11:53:52 |显示全部楼层
照这种方法弄完后,可是一磁盘碎片整理又出现一大堆

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

Archiver|手机版|爱毒霸社区 ( 京ICP备10005744号 )  

GMT+8, 2012-2-10 02:10 , Processed in 0.087233 second(s), 24 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部