Chinaunix

标题: mumawow怎么处理？？ [打印本页]

作者: quhp1978 时间: 2008-04-14 09:42
标题: mumawow怎么处理？？
急急？？

作者: grjboy30 时间: 2008-04-25 10:57
转::surprise: \r\n\r\n\r\n近期關于 mumawow 的查殺~\r\n很久很久很很久沒有寫貼了。。\r\n\r\n現在寫一下關于 mumawow 的查殺步驟~~\r\n\r\n首先該病毒感染全盤EXE \r\n\r\n其次該病毒能被廣大滴殺毒軟件所清除。。注意是清除，不是刪除！！ - -\r\n\r\n再次通過autorun.inf 加載 ntldr.exe ，在生成 c:\\windows\\system\\c0mine.exe (是零不是歐) ， c0mine.exe 滴任務是映像劫持， MS還有后臺下載~~~還是下載大量的其他惡意軟件和木馬~~ 被感染的EXE運\行后好像也生成c0mine.exe，由于我是靠感覺，沒有用SSM等軟件檢測，可能不完全。\r\n\r\n說說清除步驟吧\r\n\r\n\r\n1. 在確保殺毒軟件沒有被感染的情況下，全盤查殺 EXE文件。\r\n2. 運\行regedit（沒有被劫持 -。- 奇跡啊~~），刪除所有劫持，并且修改鍵值為只讀。\r\n3. 冰刃，刪除c:\\windows\\system\\c0mine.exe，刪除每個盤符下的autorun.inf 以及 ntldr.exe\r\n4. 360等安全軟件清除剩余惡意軟件。\r\n5. 將注冊表鍵值修改回完全。（普通用戶還是不要在改回來了！）\r\n\r\n\r\n1. 在殺毒軟件被感染，并且大量EXE無法運\行的情況下，拆硬盤，掛接到其他機器上，全盤查殺。\r\n2. 運\行冰刃，刪除？：\\windows\\system\\c0mine.exe 刪除每個盤符下的autorun.inf 以及 ntldr.exe 并且靠經驗刪除一些惡意程序 c:\\windows\\system32\\ 下N多的tmp dll exe\r\n3. 將殺毒軟件安裝源或者未修改過EXE文件覆蓋回被感染硬盤。\r\n4. 重新將硬盤裝回，安裝殺毒軟件或將修復后的殺毒軟件在全盤掃描一次（確保平安嘛）\r\n5. 360等安全軟件清除剩余惡意軟件。\r\n6. 將注冊表鍵值修改回完全。（普通用戶還是不要在改回來了！）\r\n\r\n說的很容易，但是做起來就有點麻煩，特別是全盤掃毒的時候，文件多的話要等很久很久，，而且，你不能運\行被感染的EXE，一運\行，c0mine.exe就出現，就在一次劫持。。哎。。。。\r\n\r\n掛硬盤是最保險的方法，當然，確保你不要雙擊打開他的硬盤分區- -否則自己也中招。。。

作者: ddachang 时间: 2008-04-25 11:05
那个ntldr在C盘下有个隐藏文件，说是系统文件，跟这个ntldr.exe有什么区别

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)