logogo的变种
BoBoTurbo.exe 经过分析,可以说不能算流氓软件了应该说是病毒了。它总共生成大概以下一些文件:
windows/system
BoBoTurbo.exe ,00006.exe,00020.exe,00021.exe,00023.exe,wd.exe,等等,可能很多,但是你们只要看日期最新生成的。
windows/system32
这个文件夹有两类文件,一类并不是它自身的:
kvmxjis.exe FNTCACHE.DAT inudhya.dll rsmyhfg.dll rsmyhsp.exe avzxist.exe kaqhjaz.exe ratbltl.exe kaqhjcs.dll
avwlein.dll gdqqsgi32.dll等等这类不一定是它自身的,很可能是别的一些流氓软件,它负责安装。大家也是看时间。最新生成的。一般都是了
还有一类,就应该是它自声的了:
kvmxjma.dll rsmyhpm.dll raqjepi.dll avzximn.dll kaqhjzy.dll ratblpi.dll 等等十几个吧文件名很多,我这里就不列举了,查找的方法是在我的机器上它的生成时间修改时间在2004-8-5 2点左右。
在各个盘符下:
XP.exe和autorun.inf,exe的文件名不一定
还有个一个什么目录忘记了
Wn_Sys8x.sys,好象还有一个文件,自己搜索一下了。
文件名不列举,因为文件不是一个杀毒的好办法,该病毒的作者肯定也考虑到了,我看了它的exe,它的文件应该是一个数组里取出,随机生成(是不是随机我不太清楚了)
下面是注册表:
第一个启动项HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run名称logogo,
第二个启动项HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows
<AppInit_DLLs> <******.dll>
第三个启动项(在一个desktop下都会启动,这里他基本上启动在system32下的它那些dll)HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
第四个启动项(在这里劫持一些杀毒软件,清理工具)HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
第五个启动项HKEY_LOCAL_MACHINE/SYSTEM/ControlSet的所有项检查/Control/Session Manager
下的PendingFileRenameOperations键值
ControlSet这里根据各个系统可能不同,反正你所有都检查好了。
它有第六个启动方式就是各个盘符下的XP.exe和autorun.inf,这个大家应该不陌生。
第7个启动就是我认为他是一个病毒的根据了,就是感染了,修改exe文件pe头,程序的入口地址,把BoBoTurbo.exe写到被感染文件的末尾。这也是windows下dos病毒的惯用伎俩,让程序先执行自己。
这个作者比较卑鄙。
下面说说清理吧
反正windows下删除病毒,流氓软件的步骤都类似
首先你先准备工具,一个是查找进程内模块的工具(进程查看器,用类分析哪个进程有它的模块)
第二个注册表工具,不用说了,删除注册表的。网上应该很多,我这里有两个自己写,要的话可以留言。
启动在安全模式下,首先是结束进程。利用工具查找到所有加载了它的进程,一般一些应用性进程,因为我不是在安全模式下杀。所以我也不清楚安全模式下有哪些进程,一般explorer.exe BoBoTurbo.exe,这两个总应该杀吧。
杀掉所有它的进程后,它就无所作为了(这个作者技术还没到家,没有任何一点保护的东西,呵呵)
下面就开始操作注册表把,我上面说到的启动项全部清理干净。包括XP.exe和autorun.inf,这个清理大家应该知道吧。然后删除所有我上面提到的病毒文件。
然后最后一个清理是比较麻烦的。你必须得借助杀毒软件,因为你总不可能去一个一个查被感染文件吧。不要重新启动,因为你不知道有多少,最好在断网情况下做,有可能你的杀毒软件也被感染也不一定,但是只有BoBoTurbo.exe它做不了什么动作,BoBoTurbo.exe应该只是一个下载通道,还有就是注册表加一些值,很容易删除。这些些步骤做完就差不多了。
还有一个简单的办法就是重新装系统,但是很多人说重新装了还有,只好低格。呵呵没必要。
重装了系统后,你还得处理我上面说的最后两步,XP.exe和autorun.inf,和感染文件。所以装上系统你马上装个杀毒的吧。
BoBoTurbo.exe 经过分析,可以说不能算流氓软件了应该说是病毒了。它总共生成大概以下一些文件:
windows/system
BoBoTurbo.exe ,00006.exe,00020.exe,00021.exe,00023.exe,wd.exe,等等,可能很多,但是你们只要看日期最新生成的。
windows/system32
这个文件夹有两类文件,一类并不是它自身的:
kvmxjis.exe FNTCACHE.DAT inudhya.dll rsmyhfg.dll rsmyhsp.exe avzxist.exe kaqhjaz.exe ratbltl.exe kaqhjcs.dll
avwlein.dll gdqqsgi32.dll等等这类不一定是它自身的,很可能是别的一些流氓软件,它负责安装。大家也是看时间。最新生成的。一般都是了
还有一类,就应该是它自声的了:
kvmxjma.dll rsmyhpm.dll raqjepi.dll avzximn.dll kaqhjzy.dll ratblpi.dll 等等十几个吧文件名很多,我这里就不列举了,查找的方法是在我的机器上它的生成时间修改时间在2004-8-5 2点左右。
在各个盘符下:
XP.exe和autorun.inf,exe的文件名不一定
还有个一个什么目录忘记了
Wn_Sys8x.sys,好象还有一个文件,自己搜索一下了。
文件名不列举,因为文件不是一个杀毒的好办法,该病毒的作者肯定也考虑到了,我看了它的exe,它的文件应该是一个数组里取出,随机生成(是不是随机我不太清楚了)
下面是注册表:
第一个启动项HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run名称logogo,
第二个启动项HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows
<AppInit_DLLs> <******.dll>
第三个启动项(在一个desktop下都会启动,这里他基本上启动在system32下的它那些dll)HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
第四个启动项(在这里劫持一些杀毒软件,清理工具)HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
第五个启动项HKEY_LOCAL_MACHINE/SYSTEM/ControlSet的所有项检查/Control/Session Manager
下的PendingFileRenameOperations键值
ControlSet这里根据各个系统可能不同,反正你所有都检查好了。
它有第六个启动方式就是各个盘符下的XP.exe和autorun.inf,这个大家应该不陌生。
第7个启动就是我认为他是一个病毒的根据了,就是感染了,修改exe文件pe头,程序的入口地址,把BoBoTurbo.exe写到被感染文件的末尾。这也是windows下dos病毒的惯用伎俩,让程序先执行自己。
这个作者比较卑鄙。
下面说说清理吧
反正windows下删除病毒,流氓软件的步骤都类似
首先你先准备工具,一个是查找进程内模块的工具(进程查看器,用类分析哪个进程有它的模块)
第二个注册表工具,不用说了,删除注册表的。网上应该很多,我这里有两个自己写,要的话可以留言。
启动在安全模式下,首先是结束进程。利用工具查找到所有加载了它的进程,一般一些应用性进程,因为我不是在安全模式下杀。所以我也不清楚安全模式下有哪些进程,一般explorer.exe BoBoTurbo.exe,这两个总应该杀吧。
杀掉所有它的进程后,它就无所作为了(这个作者技术还没到家,没有任何一点保护的东西,呵呵)
下面就开始操作注册表把,我上面说到的启动项全部清理干净。包括XP.exe和autorun.inf,这个清理大家应该知道吧。然后删除所有我上面提到的病毒文件。
然后最后一个清理是比较麻烦的。你必须得借助杀毒软件,因为你总不可能去一个一个查被感染文件吧。不要重新启动,因为你不知道有多少,最好在断网情况下做,有可能你的杀毒软件也被感染也不一定,但是只有BoBoTurbo.exe它做不了什么动作,BoBoTurbo.exe应该只是一个下载通道,还有就是注册表加一些值,很容易删除。这些些步骤做完就差不多了。
还有一个简单的办法就是重新装系统,但是很多人说重新装了还有,只好低格。呵呵没必要。
重装了系统后,你还得处理我上面说的最后两步,XP.exe和autorun.inf,和感染文件。所以装上系统你马上装个杀毒的吧。