爱毒霸社区 Kingsoft Internet Security  Forum

 找回密码
 注册

用新浪微博连接

一步搞定

QQ登录

只需一步,快速开始

查看: 36982|回复: 18

高危病毒“恐怖鸡感染号”(logogogo.exe)再度变种  关闭 [复制链接]

Rank: 6Rank: 6

铜钱
635
元宝
0
威望
1022
积分
728

枣泥月饼 豆沙月饼 安全精英 毒霸MVP勋章 技术达人 电脑清理高手 安全大师 最拉风人物

发表于 2007-11-29 13:41:43 |显示全部楼层
本周恐怖鸡感染号”病毒再度变种,使用技术与之前的logogogo.exe如出一辙。
" A7 D! b. w7 l7 z7 h
7 A% I6 ?1 p( A
病毒特征如下:* |+ P$ V2 x0 T; J

! D; p- g2 i/ M8 a5 l加载常规启动项
+ o; K! g  m: H【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】
0 G1 |: `( @( |- K* ]5 r* v+ m/ N    <TBMonEx><C:\WINDOWS\system\soundmno.exe>  
4 r* n& C8 ]) N4 a2 u1 x6 w5 W, R% `- T
(另一个变种的路径: C:\WINDOWS\system\C0NIME.EXE)- ?: o1 v# f4 [- m9 b7 b- e; V  p9 J
在各个盘符留下病毒主文件ntldr.exe (单独运行此文件的话,病毒会通过批处理实现自删除)3 @0 ~5 T1 h1 Z3 M6 o/ J: U; C
进程中存在soundmno.exe或者C0NIME.EXE感染包括毒霸在内的可执行文件,劫持大量杀毒软件。' P, G/ v) U9 ?' t# r& `

$ d) m: B7 C# M4 J) u' G  h5 b4 e& Z6 l
类似病毒的技术细节分析参考:http://bbs.duba.net/thread-21847768-1-1.html
4 Y$ O$ K" O- U$ a/ l/ {/ W6 R3 ^+ `, o  ~6 S. _6 I. m

2 o6 B0 S7 }0 N9 r2 _6 F* L- E- Q2 H
关于毒霸用户的处理方案如下:
  D- C) ?& `* h* g1 X( m2 [( ]1 z& q4 D
首先确认毒霸的病毒库版本是否是2007年11月17日的病毒库。确认方法如图:
* L  x; g3 l  w" c: ^3 d7 ]- z, c0 x$ I$ N$ ~9 r( l3 i
升级时间.JPG
! N# {9 w3 j( d

* {( b: p% Q) T2 [, f" Q
+ D4 U' Z. g1 K9 ^% q3 I最后升级时间为2007年11月26日,晚于2007年11月17日即可跳过此步骤。如果早于2007年11月17日的话首先手动升级病毒库,进入带命令行的安全模式处理病毒的感染特征。1 ]. X& F% z! U7 K) b

- v$ Q. @4 B6 |, i2 r4 A具体操作方法请看:http://bbs.duba.net/thread-21847545-1-1.html) _/ o* c7 a& z6 `

  Z$ N9 c3 \* p7 H' _

* ^( @  k3 g$ T7 s7 C( L如果已经是该病毒库日期之后的毒霸用户会有如下病毒名感染提示:
- u- a: l; t; j: {7 \ 恐怖鸡0.JPG

5 Y& V* D' |# C3 N# F0 `) A
$ D# N" x" G( P+ H- \. L
, q" ]$ b# ^3 e  |- _
; [+ k8 M" t4 c0 b; H' G6 n

" u1 |  [6 W9 q病毒感染特征处理后可使用如下手工处理方案:
$ w2 U8 S0 X# n- {* X
- W9 }) O) G3 U% m. ~  t
一:结束病毒进程- F& |; B) J% d  W! u; \1 l
运行金山系统清理专家进行全面诊断,隐藏所以已知的安全项目后选择病毒进程soundmno.exe将其修复。
9 v$ n9 N3 ^9 {3 K1 ]+ z
恐怖鸡1.JPG

# \; g9 b, i8 H/ L& \
/ k' [) d$ U  s7 j4 q: H: ?% g' B5 I# B. V" n" d$ c
二:清除病毒启动项' S# F( T2 }  \) [& v
在清理专家的启动项管理中找到病毒启动项TBMonEx后单击选择【清除该项】
# r' _: B9 d- T1 l" Q9 Y0 ^  G6 L4 a) |6 E3 y$ S
恐怖鸡3.JPG
6 y5 S: v$ f7 y; v, c

8 u/ _/ N  f. L. [8 v% D9 ~8 ^
$ @7 m3 V& R8 z! J$ a7 {三:粉碎病毒文件
8 x1 l4 L! P9 z1 G) s* ~5 b打开安全百宝箱中的文件粉碎器,添加各个盘符下的病毒文件ntldr.exe并全部粉碎。
& W( T" d4 m/ J- }5 O, s  F
6 K  M' H) \5 e4 t1 B 恐怖鸡4.JPG
* p  U( {" y, [% @9 [. |
& |* Z  i! W* }  ^; z( F, @6 d

- Z! _) i, V3 e四:清理异常的autorun.inf和病毒破坏。& H. k' j9 n) @, ?" \8 R% \
点击清理专家的恶意软件扫描功能,全选后清除选定项。(全选后“异常的autorun.inf”前会勾选)
- H# I" [/ f: I6 q! P6 g5 s2 Z  s9 F' Y1 _0 v/ U2 \' g2 A
恐怖鸡5.JPG
3 p2 j% y/ I+ W" a
6 b& D1 m! e5 X" Y( T9 @( H

$ y, b5 A3 C4 x4 @, S  R9 Z& K" r% V. m  N6 s5 l
五:重启后升级毒霸病毒库全面杀毒确保没有漏掉其他病毒
, R. k2 [" p0 c, ^- R% X/ ^; r(重启后可能没有桌面任务栏,手动加载explorer或者再重启一遍计算机即可。)6 `4 H+ w" D8 [* Z0 r) H5 |6 c

+ I3 |! W) m# I: e7 W5 q  ]# R" x7 H2 O" o0 G# ~5 ^# g0 L
清理专家手动杀毒的参考教程如下:# w; m; z1 h. x' i: l7 _+ ]
http://bbs.duba.net/thread-21849402-1-3.html
; y! u: h$ A2 {- u" c# T: _, U3 ]  M

9 g5 b* @8 m9 l. q& n# P$ A7 K& {6 A1 p1 O  m8 y
[ 本帖最后由 papa 于 2007-12-3 11:19 编辑 ]

上校

一个爱国分子

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

铜钱
201
元宝
271
威望
15385
积分
7119

枣泥月饼 豆沙月饼 星光奖 节庆图片奖

发表于 2007-11-29 18:50:07 |显示全部楼层

使用道具 举报

一级士官长

潜水艇水手

Rank: 9Rank: 9Rank: 9

铜钱
1615
元宝
141
威望
4193
积分
2123

枣泥月饼 豆沙月饼

发表于 2007-11-29 19:03:27 |显示全部楼层

使用道具 举报

Rank: 5Rank: 5

铜钱
121
元宝
145
威望
831
积分
554

枣泥月饼 豆沙月饼

发表于 2007-12-1 14:49:28 |显示全部楼层

使用道具 举报

Rank: 1

铜钱
15
元宝
0
威望
21
积分
11

枣泥月饼 豆沙月饼

发表于 2007-12-1 23:26:37 |显示全部楼层

使用道具 举报

Rank: 3Rank: 3

铜钱
135
元宝
4
威望
273
积分
142

枣泥月饼 豆沙月饼

发表于 2007-12-5 17:46:13 |显示全部楼层

使用道具 举报

Rank: 1

铜钱
1
元宝
0
威望
2
积分
1

枣泥月饼 豆沙月饼

发表于 2008-1-10 17:15:41 |显示全部楼层

使用道具 举报

Rank: 3Rank: 3

铜钱
179
元宝
0
威望
311
积分
154

枣泥月饼 豆沙月饼

发表于 2008-4-27 13:03:03 |显示全部楼层

使用道具 举报

Rank: 1

铜钱
5
元宝
0
威望
7
积分
4

枣泥月饼 豆沙月饼

发表于 2008-5-8 11:53:52 |显示全部楼层
照这种方法弄完后,可是一磁盘碎片整理又出现一大堆

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

Archiver|手机版|爱毒霸社区 ( 京ICP备10005744号 )  

GMT+8, 2012-2-10 01:48 , Processed in 0.700375 second(s), 23 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部