这是最近很流行的木马下载者病毒,它是之前的logogo病毒的变种,不过最近的新变种非常肆虐。该病毒主要具有如下破坏作用
1.通过U盘等移动存储传播
2.创建IFEO项目劫持杀毒软件
3.感染exe文件(被感染文件尾部被加入一个名为.ani的节。被感染文件运行后会释放一个名为ani.ani的临时文件并运行)
4.下载木马
5.向指定网址发送被感染者的及其名称,操作系统,MAC地址等信息
关于该病毒的具体分析请参考
http://hi.baidu.com/newcenturysun/blog/item/99a68a5144aca02742a75b36.html
(BoBoTurbo.exe即为logogogo.exe的最新变种,只是文件名改变,其他未变)
下面通过举例完整的阐述一遍这个病毒的解决办法:
以下是一个被感染这个病毒后的sreng日志
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe>
或者是<logogogo><%systemroot%\system\BoBoTurbo.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<GenProtect><C:\WINDOWS\GenProtect.exE> []
<inudhya><C:\WINDOWS\system\soundma.exe> []
<logogogo><C:\WINDOWS\system\BoBoTurbo.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxsjma.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9D57B341-43DF-4563-753F-345FFA3157D9}><C:\WINDOWS\system32\kvmxjma.dll> []
<{AD561258-45F3-A451-F908-A258458226DA}><C:\WINDOWS\system32\kvdxsjma.dll> []
<{5598FF45-DA60-F48A-BC43-10AC47853D55}><C:\WINDOWS\system32\rarjepi.dll> []
<{A7D81718-1314-5200-2597-58790101807A}><C:\WINDOWS\system32\kaqhjzy.dll> []
<{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}><C:\WINDOWS\system32\kvdxjma.dll> []
<{C34345F1-DACF-3452-CB7D-4620F34A153C}><C:\WINDOWS\system32\rsztlpm.dll> []
<{54783410-4F90-34A0-7820-3230ACD05F45}><C:\WINDOWS\system32\raqjepi.dll> []
<{9859245F-345D-BC13-AC4F-145D47DA34F9}><C:\WINDOWS\system32\avzximn.dll> []
<{C6650011-3344-6688-4899-345FABCD156C}><C:\WINDOWS\system32\ratblpi.dll> []
<{68907901-1416-3389-9981-372178569986}><C:\WINDOWS\system32\kawdfzy.dll> []
<{5A321487-4977-D98A-C8D5-6488257545A5}><C:\WINDOWS\system32\kapjezy.dll> []
<{65983698-1025-2685-5984-595778514656}><C:\WINDOWS\system32\wsjrfzx.dll> []
<{5960356A-458E-DE24-BD50-268F589A56A5}><C:\WINDOWS\system32\avwlemn.dll> []
<{B6650011-3344-6688-4899-345FABCD156B}><C:\WINDOWS\system32\ratbkpi.dll> []
<{24909874-8982-F344-A322-7898787FA742}><C:\WINDOWS\system32\swjqbzc.dll> []
<{678A7521-FA87-34AB-34C2-4893F3AD34C6}><C:\WINDOWS\system32\swrcezc.dll> []
<{25679330-4034-9021-7012-909856721372}><C:\WINDOWS\system32\wszjbzx.dll> []
IFEO项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
<IFEO[360rpt.exe]><%systemroot%\system\logogogo.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
<IFEO[360Safe.exe]><%systemroot%\system\logogogo.exe> []
或者指向%systemroot%\system\BoBoTurbo.exe
==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE
[D:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE...
解决办法:
下载sreng:http://download.kztechs.com/files/sreng2.zip
Xdelbox:http://www.dodudou.com/down/里面的原创软件文件夹下
首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
分别解压Xdelbox和sreng
(
注意:如果winrar也被感染,请重装winrar后再解压文件,推荐重装winrar)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []
或者是<logogogo><%systemroot%\system\BoBoTurbo.exe>
并删除所有红色的IFEO项目
