“ntldr.exe”的意思、由来-中文百科全书

ntldr - ntldr.exe - 进程信息

进程文件： ntldr 或者 ntldr.exe

进程名称：未知N/A

描述：

ntldr.exe是病毒相关程序。该木马允许攻击者访问你的计算机，窃取密码和个人数据。

出品者：未知N/A

属于：未知N/A

系统进程：否

后台程序：是

使用网络：是

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

间谍软件：否

广告软件：否

病毒：是

木马：是

该病毒属于蠕虫类，主要依靠U盘传播，运行后有如下行为：释放副本到windows 文件夹的fonts目录下，在磁盘的每个根目录下衍生副本和autorun.inf用于双击磁盘时启动该病毒；添加注册表实现开机自启动，添加注册表对安全软件映像劫持；遍历磁盘感染除系统以外的exe文件；连接网络下载病毒到临时文件夹下；该病毒功能很多，清除起来并不容易，属于危害等级较高的病毒。

本地行为：

1、文件运行后会释放以下文件：

%DriverLetter%\tldr.exe 19,124字节

%DriverLetter%\\autorun.inf 85字节

%Windir%\\Fonts\\system\\ati2evxx.exe　19,124字节

2、感染本地除系统文件夹以外的exe文件：

在exe文件的尾部添加名为.ani一个节，改变文件的大小，

以下为添加到新节的代码：

3、新增注册表：

添加注册表启动项，实现自启动

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

注册表值："TBMonEX"

类型： REG_SZ

字符串："%Windir%\\Fonts\\system\\ati2evxx.exe"

描述：添加自启动

添加注册表对安全软件映像劫持

查杀方法

（PS：杀毒工具下载：http://www.antidu.cn/board/helpst/）

(1)关闭病毒进程。

(2)删除病毒文件：

( 怕麻烦的朋友可以去下载个专杀工具 http://www.antidu.cn/board/zsst/ )

%DriverLetter%\tldr.exe

%Windir%\\Fonts\\system\\ati2evxx.exe

%Temporary Internet Files%\\00001[1].exe

%Temporary Internet Files%\\00002[1].exe

%Temporary Internet Files%\\000031].exe

%Temporary Internet Files%\\00004[1].exe

%Temporary Internet Files%\\00005[1].exe

%Temporary Internet Files%\\00006[1].exe

%Temporary Internet Files%\\00007[1].exe

%Temporary Internet Files%\\00008[1].exe

%Temporary Internet Files%\\00009[1].exe

%Temporary Internet Files%\\00010[1].exe

%Temporary Internet Files%\\00011[1].exe

%Temporary Internet Files%\\00012[1].exe

%Temporary Internet Files%\\00013[1].exe

%Temporary Internet Files%\\00015[1].exe

%Temporary Internet Files%\\00016[1].exe

%Temporary Internet Files%\\00017[1].exe

%Temporary Internet Files%\\00023[1].exe

%Temporary Internet Files%\\host[1].exe

%Temporary Internet Files%\\wdlm[1].exe

%Temporary Internet Files%\\soundma[1].exe

%Temporary Internet Files%\\lmmy[1].exe

%Temporary Internet Files%\\lmmh[1].exe

(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run]

注册表值："TBMonEX"

类型： REG_SZ

字符串："%Windir%\\Fonts\\system\\ati2evxx.exe"

描述：添加自启动

==============

凝逸反毒.修复艾妮(NTLDR.EXE)感染

救援编号: 0001

样本提供: 爱丄爱

启始时间: 20080509 16:00

完成时间: 20080509 21:00

感染引擎: 修复艾妮(NTLDR.EXE)感染

引擎作者: 凝逸

病毒名: 艾妮.irus.Win32.AutoRun.aik,NTLDR.EXE病毒变种

功能: 修复NTLDR.EXE感染的EXE

防御: 防御与杀除NTLDR.EXE

词条	ntldr.exe
释义	ntldr - ntldr.exe - 进程信息进程文件： ntldr 或者 ntldr.exe 进程名称：未知N/A 描述： ntldr.exe是病毒相关程序。该木马允许攻击者访问你的计算机，窃取密码和个人数据。出品者：未知N/A 属于：未知N/A 系统进程：否后台程序：是使用网络：是硬件相关：否常见错误：未知N/A 内存使用：未知N/A 间谍软件：否广告软件：否病毒：是木马：是该病毒属于蠕虫类，主要依靠U盘传播，运行后有如下行为：释放副本到windows 文件夹的fonts目录下，在磁盘的每个根目录下衍生副本和autorun.inf用于双击磁盘时启动该病毒；添加注册表实现开机自启动，添加注册表对安全软件映像劫持；遍历磁盘感染除系统以外的exe文件；连接网络下载病毒到临时文件夹下；该病毒功能很多，清除起来并不容易，属于危害等级较高的病毒。本地行为： 1、文件运行后会释放以下文件： %DriverLetter%\tldr.exe 19,124字节 %DriverLetter%\\autorun.inf 85字节 %Windir%\\Fonts\\system\\ati2evxx.exe　19,124字节 2、感染本地除系统文件夹以外的exe文件：在exe文件的尾部添加名为.ani一个节，改变文件的大小，以下为添加到新节的代码： 3、新增注册表：添加注册表启动项，实现自启动 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] 注册表值："TBMonEX" 类型： REG_SZ 字符串："%Windir%\\Fonts\\system\\ati2evxx.exe" 描述：添加自启动添加注册表对安全软件映像劫持查杀方法（PS：杀毒工具下载：http://www.antidu.cn/board/helpst/） (1)关闭病毒进程。 (2)删除病毒文件： ( 怕麻烦的朋友可以去下载个专杀工具 http://www.antidu.cn/board/zsst/ ) %DriverLetter%\tldr.exe %DriverLetter%\tldr.exe %Windir%\\Fonts\\system\\ati2evxx.exe %Temporary Internet Files%\\00001[1].exe %Temporary Internet Files%\\00002[1].exe %Temporary Internet Files%\\000031].exe %Temporary Internet Files%\\00004[1].exe %Temporary Internet Files%\\00005[1].exe %Temporary Internet Files%\\00006[1].exe %Temporary Internet Files%\\00007[1].exe %Temporary Internet Files%\\00008[1].exe %Temporary Internet Files%\\00009[1].exe %Temporary Internet Files%\\00010[1].exe %Temporary Internet Files%\\00011[1].exe %Temporary Internet Files%\\00012[1].exe %Temporary Internet Files%\\00013[1].exe %Temporary Internet Files%\\00015[1].exe %Temporary Internet Files%\\00016[1].exe %Temporary Internet Files%\\00017[1].exe %Temporary Internet Files%\\00023[1].exe %Temporary Internet Files%\\host[1].exe %Temporary Internet Files%\\wdlm[1].exe %Temporary Internet Files%\\soundma[1].exe %Temporary Internet Files%\\lmmy[1].exe %Temporary Internet Files%\\lmmh[1].exe (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项： [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run] 注册表值："TBMonEX" 类型： REG_SZ 字符串："%Windir%\\Fonts\\system\\ati2evxx.exe" 描述：添加自启动 ============== 凝逸反毒.修复艾妮(NTLDR.EXE)感染救援编号: 0001 样本提供: 爱丄爱启始时间: 20080509 16:00 完成时间: 20080509 21:00 感染引擎: 修复艾妮(NTLDR.EXE)感染引擎作者: 凝逸病毒名: 艾妮.irus.Win32.AutoRun.aik,NTLDR.EXE病毒变种功能: 修复NTLDR.EXE感染的EXE 防御: 防御与杀除NTLDR.EXE
随便看	杨庆毓杨庆玺杨琼琼杨琼英杨秋安杨秋波杨秋功杨秋贵杨秋海杨秋红杨秋莉杨秋蒙杨秋明杨秋庆杨秋石杨秋水杨秋霞杨秋侠杨秋新杨秋英俤杨秋泽杨秋仲杨秋淇杨求女杨求生