基本内容

soundmno.exe,ntldr.exe,TxHMoU.Exe,soS.Exe查杀

前一段时间，电脑突然变看， 发现进程里多了个TxHMoU.Exe！

感觉不对竟，马上用在线杀毒http://www.antidu.cn/board/online，瑞星报毒！！！

马上动手来杀！

病毒简要分析

1.病毒运行后，衍生如下副本：

%systemroot%\system32\AuToRUN.Inf

%systemroot%\system32\TxHMoU.Exe

在每个分区根目录下面生成AuToRUN.Inf和soS.Exe，达到通过U盘等移动存储传播的目的。

2.不断调用reg.exe进行相关的系统破坏，其中包括

(1)添加自身启动项目

(2)禁用Windows自动更新

(3)禁用任务管理器

(4)破坏显示隐藏文件

(5)不显示文件扩展名

3.遍历磁盘分区删除gho文件

4.感染所有磁盘分区的遍历所有磁盘分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，CONN.ASP文件,并在其尾部加入ieframe代码

5.连接网络下载3个txt文本文档，并把它们保存到%systemroot%\system32下面命名为FSEz.COM，FSEx.COM，FSEc.COM，FSEv.COM，FSEb.COM等