logogo的变种
BoBoTurbo.exe 经过分析,可以说不能算流氓软件了应该说是病毒了。它总共生成大概以下一些文件:windows/systemBoBoTurbo.exe ,00006.exe,00020.exe,00021.exe,00023.exe,wd.exe,等等,可能很多,但是你们只要看日期最新生成的。windows/system32这个文件夹有两类文件,一类并不是它自身的:kvmxjis.exe FNTCACHE.DAT inudhya.dll rsmyhfg.dll rsmyhsp.exe avzxist.exe kaqhjaz.exe ratbltl.exe kaqhjcs.dllavwlein.dll gdqqsgi32.dll等等这类不一定是它自身的,很可能是别的一些流氓软件,它负责安装。大家也是看时间。最新生成的。一般都是了还有一类,就应该是它自声的了:kvmxjma.dll rsmyhpm.dll raqjepi.dll avzximn.dll kaqhjzy.dll ratblpi.dll 等等十几个吧文件名很多,我这里就不列举了,查找的方法是在我的机器上它的生成时间修改时间在2004-8-5 2点左右。在各个盘符下:XP.exe和autorun.inf,exe的文件名不一定还有个一个什么目录忘记了Wn_Sys8x.sys,好象还有一个文件,自己搜索一下了。文件名不列举,因为文件不是一个杀毒的好办法,该病毒的作者肯定也考虑到了,我看了它的exe,它的文件应该是一个数组里取出,随机生成(是不是随机我不太清楚了)下面是注册表:第一个启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run名称logogo,第二个启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
<AppInit_DLLs><******.dll> 第三个启动项(在一个desktop下都会启动,这里他基本上启动在system32下的它那些dll)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks第四个启动项(在这里劫持一些杀毒软件,清理工具)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options第五个启动项HKEY_LOCAL_MACHINE\SYSTEM\ControlSet的所有项检查\Control\Session Manager下的PendingFileRenameOperations键值ControlSet这里根据各个系统可能不同,反正你所有都检查好了。
它有第六个启动方式就是各个盘符下的XP.exe和autorun.inf,这个大家应该不陌生。第7个启动就是我认为他是一个病毒的根据了,就是感染了,修改exe文件pe头,程序的入口地址,把BoBoTurbo.exe写到被感染文件的末尾。这也是windows下dos病毒的惯用伎俩,让程序先执行自己。这个作者比较卑鄙。下面说说清理吧反正windows下删除病毒,流氓软件的步骤都类似首先你先准备工具,一个是查找进程内模块的工具(进程查看器,用类分析哪个进程有它的模块)第二个注册表工具,不用说了,删除注册表的。网上应该很多,我这里有两个自己写,要的话可以留言。启动在安全模式下,首先是结束进程。利用工具查找到所有加载了它的进程,一般一些应用性进程,因为我不是在安全模式下杀。所以我也不清楚安全模式下有哪些进程,一般explorer.exe BoBoTurbo.exe,这两个总应该杀吧。杀掉所有它的进程后,它就无所作为了(这个作者技术还没到家,没有任何一点保护的东西,呵呵)下面就开始操作注册表把,我上面说到的启动项全部清理干净。包括XP.exe和autorun.inf,这个清理大家应该知道吧。然后删除所有我上面提到的病毒文件。然后最后一个清理是比较麻烦的。你必须得借助杀毒软件,因为你总不可能去一个一个查被感染文件吧。不要重新启动,因为你不知道有多少,最好在断网情况下做,有可能你的杀毒软件也被感染也不一定,但是只有BoBoTurbo.exe它做不了什么动作,BoBoTurbo.exe应该只是一个下载通道,还有就是注册表加一些值,很容易删除。这些些步骤做完就差不多了。还有一个简单的办法就是重新装系统,但是很多人说重新装了还有,只好低格。呵呵没必要。重装了系统后,你还得处理我上面说的最后两步,XP.exe和autorun.inf,和感染文件。所以装上系统你马上装个杀毒的吧。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1901450
BoBoTurbo.exe 经过分析,可以说不能算流氓软件了应该说是病毒了。它总共生成大概以下一些文件:windows/systemBoBoTurbo.exe ,00006.exe,00020.exe,00021.exe,00023.exe,wd.exe,等等,可能很多,但是你们只要看日期最新生成的。windows/system32这个文件夹有两类文件,一类并不是它自身的:kvmxjis.exe FNTCACHE.DAT inudhya.dll rsmyhfg.dll rsmyhsp.exe avzxist.exe kaqhjaz.exe ratbltl.exe kaqhjcs.dllavwlein.dll gdqqsgi32.dll等等这类不一定是它自身的,很可能是别的一些流氓软件,它负责安装。大家也是看时间。最新生成的。一般都是了还有一类,就应该是它自声的了:kvmxjma.dll rsmyhpm.dll raqjepi.dll avzximn.dll kaqhjzy.dll ratblpi.dll 等等十几个吧文件名很多,我这里就不列举了,查找的方法是在我的机器上它的生成时间修改时间在2004-8-5 2点左右。在各个盘符下:XP.exe和autorun.inf,exe的文件名不一定还有个一个什么目录忘记了Wn_Sys8x.sys,好象还有一个文件,自己搜索一下了。文件名不列举,因为文件不是一个杀毒的好办法,该病毒的作者肯定也考虑到了,我看了它的exe,它的文件应该是一个数组里取出,随机生成(是不是随机我不太清楚了)下面是注册表:第一个启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run名称logogo,第二个启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
<AppInit_DLLs><******.dll> 第三个启动项(在一个desktop下都会启动,这里他基本上启动在system32下的它那些dll)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks第四个启动项(在这里劫持一些杀毒软件,清理工具)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options第五个启动项HKEY_LOCAL_MACHINE\SYSTEM\ControlSet的所有项检查\Control\Session Manager下的PendingFileRenameOperations键值ControlSet这里根据各个系统可能不同,反正你所有都检查好了。
它有第六个启动方式就是各个盘符下的XP.exe和autorun.inf,这个大家应该不陌生。第7个启动就是我认为他是一个病毒的根据了,就是感染了,修改exe文件pe头,程序的入口地址,把BoBoTurbo.exe写到被感染文件的末尾。这也是windows下dos病毒的惯用伎俩,让程序先执行自己。这个作者比较卑鄙。下面说说清理吧反正windows下删除病毒,流氓软件的步骤都类似首先你先准备工具,一个是查找进程内模块的工具(进程查看器,用类分析哪个进程有它的模块)第二个注册表工具,不用说了,删除注册表的。网上应该很多,我这里有两个自己写,要的话可以留言。启动在安全模式下,首先是结束进程。利用工具查找到所有加载了它的进程,一般一些应用性进程,因为我不是在安全模式下杀。所以我也不清楚安全模式下有哪些进程,一般explorer.exe BoBoTurbo.exe,这两个总应该杀吧。杀掉所有它的进程后,它就无所作为了(这个作者技术还没到家,没有任何一点保护的东西,呵呵)下面就开始操作注册表把,我上面说到的启动项全部清理干净。包括XP.exe和autorun.inf,这个清理大家应该知道吧。然后删除所有我上面提到的病毒文件。然后最后一个清理是比较麻烦的。你必须得借助杀毒软件,因为你总不可能去一个一个查被感染文件吧。不要重新启动,因为你不知道有多少,最好在断网情况下做,有可能你的杀毒软件也被感染也不一定,但是只有BoBoTurbo.exe它做不了什么动作,BoBoTurbo.exe应该只是一个下载通道,还有就是注册表加一些值,很容易删除。这些些步骤做完就差不多了。还有一个简单的办法就是重新装系统,但是很多人说重新装了还有,只好低格。呵呵没必要。重装了系统后,你还得处理我上面说的最后两步,XP.exe和autorun.inf,和感染文件。所以装上系统你马上装个杀毒的吧。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1901450
解决方案 »
- 急!在线等!雷达运行时间越长,CPU占用越多!!
- 2008QQ界面代码分享,有图
- MFC什么时候会被淘汰?
- 为什么用SetLocalTime函数更改系统时间不起作用啊?
- 如何判断CFormVIew上的复选框是否选中
- 我在dialog 上显示一个jpg图片,显示时吞食内存,奇怪的是当对话框最小话后,程序又释放内存了,什么原因呢
- 关于BOOL和NULL的问题
- 我的分快给完了,请问这件事情我怎么做到呀?
- VC下的奇怪现象,各位观众,请看!
- 分全给了:一个低级问题,为什么在VC中编译为Release版时出现错误?请看一下。
- 好不容易下载安装了一个vc++express,结果里面没有mfc,晕倒了
- 关于视频预览
下的注入文件,需先记录下所有文件名, 然后重新启动计算机, 用xp启动盘引导进入控制台恢复, 手工删除这些文件即可.通常情况下,只要进入了windows, 即使在安全模式下并结束了explorer进程,仍无法删除这些hooks文件, 只能在dos下删(不是进入windows下的控制台).
1: Windows清理助手
2: autoruns.exe
3: procexp.exe 我一般用这几个工具杀。
1 用深山红叶或类似的工具从光盘启动,这样autorun.inf起不了任何作用,查找类似autorun.inf的文件全部干掉。深山红叶启动后是XP系统,操作更简单。
2 在光盘启动的XP系统中安装360安全卫士,选择清除恶意插件,开始扫描,把找到的恶意思插件全部干掉。
3 重启正常进入系统,安装卡巴斯基并升级后重启进入安全模式,扫描后正常进入系统。
4 如果还有病毒重复1-3的步骤。