机器狗病毒样本实例 中过的朋友可以手动删除

今天又找到个好玩的病毒样本   传说中的机器狗病毒   不过我的样本可能比较老了 不过能玩就行   感觉上 没什么特别的 一下进程名为我的样本的名字 可能你中的不是我的这变种 ,最后我会给出我样本的病毒名 （各杀毒软件定义病毒名字都不一样 哎~）

运行病毒后 
出现 S0UNDMAN.EXE 这个进程   位置在C:\WINDOWS\system\S0UNDMAN.EXE

 又是一个感染其他exe程序的病毒   甚至连 我的麦咖啡杀毒软件也要感染 可恶.但是不能终止麦咖啡 我用的是 mcafee 8.0i 企业版的 我至今没见到什么病毒能结束掉麦咖啡（说点题外话）

然后呢 添加启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里的TBMonEx 

还写了很多映像劫持

各盘下还添加了
autorun.inf
ntldr.exe
两个文件

好大概就这些了

下面我们来手动干掉它~

注意 干掉的过程中最好不要运行一些软件 winrar 杀毒软件 等等都很危险

首先我们先干掉 进程 直接任务管理器就可以结束掉 好结束S0UNDMAN.EXE

我们右键 资源管理器打开 我的电脑   删掉各盘下的 autorun.inf   和 ntldr.exe 文件

删掉 病毒的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里的TBMonEx   删掉

然后清理映像劫持 这是杀毒软件不能开启的原因
打开注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
因为很多 我们用简单的办法
先把 Your Image File Name Here without a path   这个项给导出保存好   然后删掉

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
整个项   最后 导入刚刚保存的文件

最后了~ 清理掉   系统缓存文件

 删掉 winrar   软件和你的杀毒软件 等 因为都被感染了 
 我在网吧里玩的 没时间看能不能恢复被感染文件了 （我没让网吧中毒 我用的虚拟机哦~ 我是好人）

最后附上我的病毒样本扫来的结果

反病毒引擎     版本     最后更新     扫描结果
AhnLab-V3     2007.12.6.1     2007.12.06     -
AntiVir     7.6.0.34     2007.12.06     Worm/Cekar.A
Authentium     4.93.8     2007.12.05     W32/Cekar.A
Avast     4.7.1098.0     2007.12.05     Win32:Delf-GAM
AVG     7.5.0.503     2007.12.06     Win32/Cekar
BitDefender     7.2     2007.12.06     Win32.Worm.Cekar.A
CAT-QuickHeal     9.00     2007.12.05     W32.Drowor.A
ClamAV     0.91.2     2007.12.06     W32.Wace
DrWeb     4.44.0.09170     2007.12.05     Win32.HLLW.Wace
eSafe     7.0.15.0     2007.12.05     -
eTrust-Vet     31.3.5356     2007.12.06     -
Ewido     4.0     2007.12.06     -
FileAdvisor     1     2007.12.06     -
Fortinet     3.14.0.0     2007.12.06     W32/Mypis.H
F-Prot     4.4.2.54     2007.12.05     W32/Cekar.A
F-Secure     6.70.13030.0     2007.12.06     Worm.Win32.Anilogo.b
Ikarus     T3.1.1.12     2007.12.06     Trojan-Spy.Win32.Delf.uv
Kaspersky     7.0.0.125     2007.12.06     Worm.Win32.Anilogo.b
McAfee     5178     2007.12.05     W32/MumaWow.d!inf
Microsoft     1.3007     2007.12.06     Virus:Win32/Cekar.B
NOD32v2     2705     2007.12.05     Win32/Mypis.H
Norman     5.80.02     2007.12.05     -
Panda     9.0.0.4     2007.12.05     W32/Bobobo.A
Prevx1     V2     2007.12.06     -
Rising     20.21.32.00     2007.12.06     Win32.Logogo.a
Sophos     4.24.0     2007.12.06     W32/Cekar-E
Sunbelt     2.2.907.0     2007.12.05     VIPRE.Suspicious
Symantec     10     2007.12.06     W32.Mumawow.F!inf
TheHacker     6.2.9.151     2007.12.05     -
VBA32     3.12.2.5     2007.12.05     Virus.Win32.Anilogo
VirusBuster     4.3.26:9     2007.12.05     Win32.Drowor.Gen
Webwasher-Gateway     6.6.2     2007.12.06     Worm.Cekar.A

附加信息
File size: 126654 bytes
MD5: 33a805f14b0c5f0a26c39feec2ff41a8
SHA1: 85318e4a79f6f1aec9dda7275114372b9a96e555
PEiD: -
packers: Upack
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

根据以上方法可以干掉此病毒，还你一个干净的系统环境。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点