发现SoundMan.exe病毒附删除方法_病毒查杀教程-查字典教程网
发现SoundMan.exe病毒附删除方法
发现SoundMan.exe病毒附删除方法
发布时间:2016-12-26 来源:查字典编辑
摘要:此病毒利用了替换服务等方式启动自身,利用SoundMan.exe这样比较熟悉的程序迷惑人。并具有结束杀毒软件和下载病毒的功能。病毒释放如下文...

此病毒利用了替换服务等方式启动自身,利用SoundMan.exe这样比较熟悉的程序迷惑人。并具有结束杀毒软件和下载病毒的功能。

病毒释放如下文件

%SystemRoot%system32ineters.exe

%SystemRoot%system32SoundMan.exe(伪SoundMan.exe,且图标与真实的SoundMan.exe相同)

%SystemRoot%system32tthh3.ini

所有文件的数字签名均为番茄花园

如果有新的可移动存储接入则写入auto.exe和autorun.inf文件

调用cmd通过netstop命令关闭多个服务

sharedaccess

KPfwSvc

KWatchsvc

McShield

NotronAntiVirusServer

结束如下进程

shstat.exe

runiep.exe

ras.exe

MPG4C32.exe

imsins.exe

Iparmor.exe

360safe.exe

360tray.exe

kmailmon.exe

kavstart.exe

avp.exe

ccenter.exe

修改

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder

HiddenSHOWALLCheckedValue值为0x00000006屏蔽显示隐藏文件

删除如下文件(为了删除旧版本的病毒文件)

%SystemRoot%system32updeta.exe

%SystemRoot%system32ineters.exe

%SystemRoot%system32SoundMan.exe

%SystemRoot%system32ttzhh.ini

%SystemRoot%system32hz3.ini

%SystemRoot%system32hz2.ini

%SystemRoot%system321035.ini

%SystemRoot%system32tthh.ini

%SystemRoot%system32tthh1.ini

%SystemRoot%system32tthh2.ini

%SystemRoot%system32alcwzrd.exe

%SystemRoot%system32notepd.exe

激活电脑中的guest账户

并且添加一个名为microsoft的账户

将如下信息写入%SystemRoot%1.inf中

[Version]

Signature="$WINDOWSNT$"

[DefaultInstall.Services]

AddService=helpsvc,,My_AddService_Name

[My_AddService_Name]

DisplayName=HelpandSupport

Description=启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支

持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。

ServiceType=0x10

StartType=2

ServiceBinary=%11%ineters.exe

ErrorControl=0

并且安装该服务

使得原先的helpsvc(帮助中心)服务的映像文件被替换为病毒%SystemRoot%system32ineters.exe

删除如下安全软件的启动项目

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun360Safetray

HKEY_LOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionRunKavStart

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunKavPFW

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunvptray

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunkav

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunruneip

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunRavTask

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunRfwMain

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions下面添加映像劫持项目

RavStub.exe

RavMON.exe

RfwMain.exe

rfwsrv.exe

McAgent.exe

mctskshd.exe

mcupdmgr.exe

rtvscan.exe

DefWatch.exe

ccSetMgr.exe

ccEvtMgr.exe

ccSetApp.exe

nod32kui.exe

nod32krn.exe

KWatch.exe

KPfwSvc.exe

KMaiMon.exe

KAVStart.exe

KVWSC.exe

kvsrvxp.exe

PFW.exe

连接网络下载其他病毒

下载地址如下

http://www.*.cn/tthh3/gx.jpg

http://www.*.cn/tthh3/qq.jpg

http://www.*.cn/tthh3/omin.jpg

http://www.*.cn/tthh3/crt.jpg

http://www.*.cn/tthh3/f1.jpg

http://www.*.cn/tthh3/f2.jpg

http://www.*.cn/tthh3/f3.jpg

(实质上均为exe文件,但部分链接已失效)

连接http://www.webye163.cn/ip/ip.asp获得被感染机器的ip地址

并且通过route.exeprint命令获得默认网关地址

将其一并写入c:ip.txt中

之后可能利用这些信息进行arp欺骗等操作...

下载的几个病毒里面有蠕虫病毒,该蠕虫病毒可以扫描附近网段内的135端口..(

具体该病毒的行为没怎么看)

下载完毕后扫描的sreng日志如下

启动项目

注册表

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

[1]

==================================

服务

[HelpandSupport/helpsvc][Stopped/AutoStart]

%WINDIR%

PCHealthHelpCtrBinariespchsvc.dll>

增加的文件可能有

%SystemRoot%system32Alcmtr.exe

%SystemRoot%system32alcwzrd.exe

%SystemRoot%system32qoq.exe

解决方法:

一、清除病毒文件和其创建的注册表项目

1.打开sreng

启动项目注册表删除如下项目

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

[1]

2.打开Icesword

点击左下角的文件按钮

删除如下文件

%SystemRoot%system32ineters.exe

%SystemRoot%system32SoundMan.exe

%SystemRoot%system32tthh3.ini

%SystemRoot%system32Alcmtr.exe

%SystemRoot%system32alcwzrd.exe

%SystemRoot%system32qoq.exe

二、修复系统

1.请把下面的代码拷入记事本中然后另存为1.reg文件

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

AdvancedFolderHiddenSHOWALL]

"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdva

nced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

2.开始-运行输入regedit

展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceshelpsvc

双击Imagepath编辑数值数据为

%systemroot%system32svchost.exe-knetsvcs

确定

注意:SoundMan.exe只有在%SystemRoot%(亦即Windows/WinNT目录下)才为正常的程序,如果在system32文件夹下,那么多半为病毒,请大家注意甄别。真SoundMan.exe:

伪SoundMan.exe:

相关阅读
推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
  • 大家都在看
  • 小编推荐
  • 猜你喜欢
  • 最新病毒查杀学习
    热门病毒查杀学习
    实用技巧子分类