词条 | ntldr.exe |
释义 | ntldr - ntldr.exe - 进程信息 进程文件: ntldr 或者 ntldr.exe 进程名称: 未知N/A 描述: ntldr.exe是病毒相关程序。该木马允许攻击者访问你的计算机,窃取密码和个人数据。 出品者: 未知N/A 属于: 未知N/A 系统进程: 否 后台程序: 是 使用网络: 是 硬件相关: 否 常见错误: 未知N/A 内存使用: 未知N/A 间谍软件: 否 广告软件: 否 病毒: 是 木马: 是 该病毒属于蠕虫类,主要依靠U盘传播,运行后有如下行为:释放副本到windows 文件夹的fonts目录下,在磁盘的每个根目录下衍生副本和autorun.inf用于双击磁盘 时启动该病毒;添加注册表实现开机自启动,添加注册表对安全软件映像劫持;遍历磁盘感染除系统以外的exe文件;连接网络下载病毒到临时文件夹下;该病毒功能很 多,清除起来并不容易,属于危害等级较高的病毒。 本地行为: 1、文件运行后会释放以下文件: %DriverLetter%\tldr.exe 19,124字节 %DriverLetter%\\autorun.inf 85字节 %Windir%\\Fonts\\system\\ati2evxx.exe 19,124字节 2、感染本地除系统文件夹以外的exe文件: 在exe文件的尾部添加名为.ani一个节,改变文件的大小, 以下为添加到新节的代码: 3、新增注册表: 添加注册表启动项,实现自启动 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] 注册表值:"TBMonEX" 类型: REG_SZ 字符串:"%Windir%\\Fonts\\system\\ati2evxx.exe" 描述:添加自启动 添加注册表对安全软件映像劫持 查杀方法 (PS:杀毒工具下载:http://www.antidu.cn/board/helpst/) (1)关闭病毒进程。 (2)删除病毒文件: ( 怕麻烦的朋友可以去下载个专杀工具 http://www.antidu.cn/board/zsst/ ) %DriverLetter%\tldr.exe %DriverLetter%\tldr.exe %Windir%\\Fonts\\system\\ati2evxx.exe %Temporary Internet Files%\\00001[1].exe %Temporary Internet Files%\\00002[1].exe %Temporary Internet Files%\\000031].exe %Temporary Internet Files%\\00004[1].exe %Temporary Internet Files%\\00005[1].exe %Temporary Internet Files%\\00006[1].exe %Temporary Internet Files%\\00007[1].exe %Temporary Internet Files%\\00008[1].exe %Temporary Internet Files%\\00009[1].exe %Temporary Internet Files%\\00010[1].exe %Temporary Internet Files%\\00011[1].exe %Temporary Internet Files%\\00012[1].exe %Temporary Internet Files%\\00013[1].exe %Temporary Internet Files%\\00015[1].exe %Temporary Internet Files%\\00016[1].exe %Temporary Internet Files%\\00017[1].exe %Temporary Internet Files%\\00023[1].exe %Temporary Internet Files%\\host[1].exe %Temporary Internet Files%\\wdlm[1].exe %Temporary Internet Files%\\soundma[1].exe %Temporary Internet Files%\\lmmy[1].exe %Temporary Internet Files%\\lmmh[1].exe (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run] 注册表值:"TBMonEX" 类型: REG_SZ 字符串:"%Windir%\\Fonts\\system\\ati2evxx.exe" 描述:添加自启动 ============== 凝逸反毒.修复艾妮(NTLDR.EXE)感染 救援编号: 0001 样本提供: 爱丄爱 启始时间: 20080509 16:00 完成时间: 20080509 21:00 感染引擎: 修复艾妮(NTLDR.EXE)感染 引擎作者: 凝逸 病毒名: 艾妮.irus.Win32.AutoRun.aik,NTLDR.EXE病毒变种 功能: 修复NTLDR.EXE感染的EXE 防御: 防御与杀除NTLDR.EXE |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。