请输入您要查询的百科知识:

 

词条 ntldr.exe
释义

ntldr - ntldr.exe - 进程信息

进程文件: ntldr 或者 ntldr.exe

进程名称: 未知N/A

描述:

ntldr.exe是病毒相关程序。该木马允许攻击者访问你的计算机,窃取密码和个人数据。

出品者: 未知N/A

属于: 未知N/A

系统进程: 否

后台程序: 是

使用网络: 是

硬件相关: 否

常见错误: 未知N/A

内存使用: 未知N/A

间谍软件: 否

广告软件: 否

病毒: 是

木马: 是

该病毒属于蠕虫类,主要依靠U盘传播,运行后有如下行为:释放副本到windows 文件夹的fonts目录下,在磁盘的每个根目录下衍生副本和autorun.inf用于双击磁盘 时启动该病毒;添加注册表实现开机自启动,添加注册表对安全软件映像劫持;遍历磁盘感染除系统以外的exe文件;连接网络下载病毒到临时文件夹下;该病毒功能很 多,清除起来并不容易,属于危害等级较高的病毒。

本地行为:

1、文件运行后会释放以下文件:

%DriverLetter%\tldr.exe 19,124字节

%DriverLetter%\\autorun.inf 85字节

%Windir%\\Fonts\\system\\ati2evxx.exe 19,124字节

2、感染本地除系统文件夹以外的exe文件:

在exe文件的尾部添加名为.ani一个节,改变文件的大小,

以下为添加到新节的代码:

3、新增注册表:

添加注册表启动项,实现自启动

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

注册表值:"TBMonEX"

类型: REG_SZ

字符串:"%Windir%\\Fonts\\system\\ati2evxx.exe"

描述:添加自启动

添加注册表对安全软件映像劫持

查杀方法

(PS:杀毒工具下载:http://www.antidu.cn/board/helpst/)

(1)关闭病毒进程。

(2)删除病毒文件:

( 怕麻烦的朋友可以去下载个专杀工具 http://www.antidu.cn/board/zsst/ )

%DriverLetter%\tldr.exe

%DriverLetter%\tldr.exe

%Windir%\\Fonts\\system\\ati2evxx.exe

%Temporary Internet Files%\\00001[1].exe

%Temporary Internet Files%\\00002[1].exe

%Temporary Internet Files%\\000031].exe

%Temporary Internet Files%\\00004[1].exe

%Temporary Internet Files%\\00005[1].exe

%Temporary Internet Files%\\00006[1].exe

%Temporary Internet Files%\\00007[1].exe

%Temporary Internet Files%\\00008[1].exe

%Temporary Internet Files%\\00009[1].exe

%Temporary Internet Files%\\00010[1].exe

%Temporary Internet Files%\\00011[1].exe

%Temporary Internet Files%\\00012[1].exe

%Temporary Internet Files%\\00013[1].exe

%Temporary Internet Files%\\00015[1].exe

%Temporary Internet Files%\\00016[1].exe

%Temporary Internet Files%\\00017[1].exe

%Temporary Internet Files%\\00023[1].exe

%Temporary Internet Files%\\host[1].exe

%Temporary Internet Files%\\wdlm[1].exe

%Temporary Internet Files%\\soundma[1].exe

%Temporary Internet Files%\\lmmy[1].exe

%Temporary Internet Files%\\lmmh[1].exe

(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run]

注册表值:"TBMonEX"

类型: REG_SZ

字符串:"%Windir%\\Fonts\\system\\ati2evxx.exe"

描述:添加自启动

==============

凝逸反毒.修复艾妮(NTLDR.EXE)感染

救援编号: 0001

样本提供: 爱丄爱

启始时间: 20080509 16:00

完成时间: 20080509 21:00

感染引擎: 修复艾妮(NTLDR.EXE)感染

引擎作者: 凝逸

病毒名: 艾妮.irus.Win32.AutoRun.aik,NTLDR.EXE病毒变种

功能: 修复NTLDR.EXE感染的EXE

防御: 防御与杀除NTLDR.EXE

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/15 14:44:02