基本介紹
TxHMoU.Exe查殺 前一段時間,電腦突然變看, 發現進程里多了個TxHMoU.Exe!
馬上動手來防毒!
病毒簡要分析
1.病毒運行後,衍生如下副本:
%systemroot%\system32\AuToRUN.Inf
%systemroot%\system32\TxHMoU.Exe
在每個分區根目錄下面生成AuToRUN.Inf和soS.Exe,達到通過隨身碟等移動存儲傳播的目的。
2.不斷調用reg.exe進行相關的系統破壞,其中包括
(1)添加自身啟動項目
(2)禁用Windows自動更新
(3)禁用任務管理器
(4)破壞顯示隱藏檔案
(5)不顯示檔案擴展名
3.遍歷磁碟分區刪除gho檔案
4.感染所有磁碟分區的遍歷所有磁碟分區的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP檔案,並在其尾部加入ieframe代碼
5.連線網路下載3個txt文本文檔,並把它們保存到%systemroot%\system32
其中
IE.txt為鎖定的主頁的列表
table.txt為關閉指定視窗的關鍵字列表
url.txt為下載的木馬列表
且table.txt,IE.txt會每隔幾秒下載一次檢查是否有更新..
之後會讀取IE.txt的中的內容(裡面一般為一個網址)
之後病毒則會把IE主頁鎖定,且使得Internet選項中主頁設定項變灰。
table.txt為病毒試圖關閉的視窗關鍵字列表
之後會讀取url.txt下載一系列木馬和病毒
清除辦法:
需要下載的工具:
強烈建議對病機斷網隔離並拔掉機器上的移動存儲設備再進行查殺!
一.清除病毒主程式TxHMoU.Exe
1.打開sreng
啟動項目 註冊表
刪除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{crsss}{%systemroot%\system32\TxHMoU.Exe} []
重啟計算機
打開sreng
系統修復 - Windows Shell/IE 全選 點擊修復
點擊 選單欄下方的 資料夾按鈕(搜尋右邊的按鈕)
在左邊的資源管理器中單擊打開系統盤(假設在C糟)
刪除%systemroot%\system32\TxHMoU.Exe
C:\soS.Exe
C:\autorun.inf
%systemroot%\system32\FSEb.COM
%systemroot%\system32\TxHMoU.Exe
同理 從左邊的資源管理器中單擊打開其它盤
刪除soS.Exe,autorun.inf
二.清除病毒下載的木馬(由於病毒伺服器上的木馬群會隨時變化,所以此方法僅供參考)
進入安全模式,刪除:
%Program Files%\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
%systemroot%\608769MM.DLL
%systemroot%\cmdbcs.exe
%systemroot%\LotusHlp.exe
%systemroot%\MsPrint32D.exe
%systemroot%\SSLDyn.exE
%systemroot%\system32\avwghmn.dll
%systemroot%\system32\avwghst.exe
%systemroot%\system32\avwlgmn.dll
%systemroot%\system32\avwlgst.exe
%systemroot%\system32\avzxkmn.dll
%systemroot%\system32\avzxkst.exe
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\drivers\comint32.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\edxqmewogy.dll
%systemroot%\system32\FTCCompress.dll
%systemroot%\system32\gdjzi32.dll
%systemroot%\system32\kaqhlaz.exe
%systemroot%\system32\kaqhlzy.dll
%systemroot%\system32\kawdfaz.exe
%systemroot%\system32\kawdfzy.dll
%systemroot%\system32\kvdxjisa.exe
%systemroot%\system32\kvdxjma.dll
%systemroot%\system32\kvdxskis.exe
%systemroot%\system32\kvdxskma.dll
%systemroot%\system32\LotusHlp.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\MsPrint32D.dll
%systemroot%\system32\msqdlsl32.dll
%systemroot%\system32\ratbopi.dll
%systemroot%\system32\ratbotl.exe
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\sidjhaz.exe
%systemroot%\system32\sidjhzy.dll
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\TxHMoU.Exe
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\vvneypgwnevm.dll
%systemroot%\system32\wszjdax.exe
%systemroot%\system32\wszjdzx.dll
%systemroot%\upxdnd.exe
重啟計算機後
打開sreng
刪除上述對應的啟動項目
三.清理機器狗病毒
本次涉及到的是%systemroot%\system32\drivers\pcihdd.sys
方法使用Xdelbox直接刪除該檔案即可
2.其次機器狗病毒清理的關鍵是把被感染的userinit.exe替換回來。
注意:清理該病毒一定不要使用防毒軟體,因為防毒軟體會盲目的將userinit.exe刪除而導致重啟計算機後登入就註銷,所以一旦防毒軟體報警userinit.exe是病毒,一定要選擇忽略!
請按照下面步驟操作將userinit.exe替換回來
首先打開任務管理器 查看是否有userinit.exe進程
有則結束它
從其他相同系統的機器中找一個userinit.exe分別複製到%systemroot%\system32\dllcache和%systemroot%\system32替換原先的檔案(注意,先覆蓋%systemroot%\system32\dllcache中的)
如果出現檔案保護的對話框,點擊是即可
四.由於病毒感染htm等網頁檔案
