欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

發(fā)現(xiàn)SoundMan.exe病毒附刪除方法

 更新時(shí)間:2007年10月15日 23:06:28   作者:  
此病毒利用了替換服務(wù)等方式啟動(dòng)自身,利用SoundMan.exe這樣比較熟悉的程序迷惑人。并具有結(jié)束殺毒軟件和下載病毒的功能。

  病毒釋放如下文件
  %SystemRoot%\system32\ineters.exe
  %SystemRoot%\system32\SoundMan.exe(偽SoundMan.exe,且圖標(biāo)與真實(shí)的SoundMan.exe相同)
  %SystemRoot%\system32\tthh3.ini

  所有文件的數(shù)字簽名均為番茄花園

  如果有新的可移動(dòng)存儲(chǔ)接入 則寫(xiě)入auto.exe和autorun.inf 文件

  調(diào)用cmd 通過(guò)net stop命令關(guān)閉多個(gè)服務(wù)
  shared access
  KPfwSvc
  KWatchsvc
  McShield
  Notron AntiVirus Server

  結(jié)束如下進(jìn)程
  shstat.exe
  runiep.exe
  ras.exe
  MPG4C32.exe
  imsins.exe
  Iparmor.exe
  360safe.exe
  360tray.exe
  kmailmon.exe
  kavstart.exe
  avp.exe
  ccenter.exe

  修改

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

\Hidden\SHOWALL\CheckedValue值為0x00000006     屏蔽顯示隱藏文件

  刪除如下文件(為了刪除舊版本的病毒文件)
%SystemRoot%\system32\updeta.exe
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\ttzhh.ini
%SystemRoot%\system32\hz3.ini
%SystemRoot%\system32\hz2.ini
%SystemRoot%\system32\1035.ini
%SystemRoot%\system32\tthh.ini
%SystemRoot%\system32\tthh1.ini
%SystemRoot%\system32\tthh2.ini
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\notepd.exe

激活電腦中的guest賬戶
并且添加一個(gè)名為microsoft的賬戶

將如下信息寫(xiě)入%SystemRoot%\1.inf中
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=啟用在此計(jì)算機(jī)上運(yùn)行幫助和支持中心。如果停止服務(wù),幫助和支

持中心將不可用。如果禁用服務(wù),任何直接依賴于此服務(wù)的服務(wù)將無(wú)法啟動(dòng)。
ServiceType=0x10
StartType=2 
ServiceBinary=%11%\ineters.exe
ErrorControl=0 

并且安裝該服務(wù)
使得原先的helpsvc(幫助中心)服務(wù)的映像文件被替換為病毒%SystemRoot%\system32\ineters.exe

刪除如下安全軟件的啟動(dòng)項(xiàng)目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safetray
HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavPFW
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vptray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runeip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RfwMain

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\下面添加映像劫持項(xiàng)目
RavStub.exe
RavMON.exe
RfwMain.exe
rfwsrv.exe
McAgent.exe
mctskshd.exe
mcupdmgr.exe
rtvscan.exe
DefWatch.exe
ccSetMgr.exe
ccEvtMgr.exe
ccSetApp.exe
nod32kui.exe
nod32krn.exe
KWatch.exe
KPfwSvc.exe
KMaiMon.exe
KAVStart.exe
KVWSC.exe
kvsrvxp.exe
PFW.exe

連接網(wǎng)絡(luò)下載其他病毒
下載地址如下
http://www.*.cn/tthh3/gx.jpg
http://www.*.cn/tthh3/qq.jpg
http://www.*.cn/tthh3/omin.jpg
http://www.*.cn/tthh3/crt.jpg
http://www.*.cn/tthh3/f1.jpg
http://www.*.cn/tthh3/f2.jpg
http://www.*.cn/tthh3/f3.jpg
(實(shí)質(zhì)上均為exe文件,但部分鏈接已失效)

連接http://www.webye163.cn/ip/ip.asp獲得被感染機(jī)器的ip地址
并且通過(guò)route.exe print命令獲得默認(rèn)網(wǎng)關(guān)地址
將其一并寫(xiě)入c:\ip.txt中
之后可能利用這些信息進(jìn)行arp欺騙等操作...

下載的幾個(gè)病毒里面有蠕蟲(chóng)病毒,該蠕蟲(chóng)病毒可以掃描附近網(wǎng)段內(nèi)的135端口..(

具體該病毒的行為沒(méi)怎么看)

下載完畢后 掃描的sreng日志如下
啟動(dòng)項(xiàng)目
注冊(cè)表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            [1]
==================================
服務(wù)
[Help and Support / helpsvc][Stopped/Auto Start]
     %WINDIR%

\PCHealth\HelpCtr\Binaries\pchsvc.dll>

增加的文件可能有
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe

  解決方法:

  一、清除病毒文件和其創(chuàng)建的注冊(cè)表項(xiàng)目
  1.打開(kāi)sreng
  啟動(dòng)項(xiàng)目     注冊(cè)表 刪除如下項(xiàng)目 
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            [1]

  2.打開(kāi)Icesword
  點(diǎn)擊左下角的文件按鈕
  刪除如下文件
  %SystemRoot%\system32\ineters.exe
  %SystemRoot%\system32\SoundMan.exe
  %SystemRoot%\system32\tthh3.ini
  %SystemRoot%\system32\Alcmtr.exe
  %SystemRoot%\system32\alcwzrd.exe
  %SystemRoot%\system32\qoq.exe

  二、修復(fù)系統(tǒng)
  1.請(qǐng)把下面的代碼拷入記事本中然后另存為1.reg文件
 Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva

nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"



  雙擊1.reg把這個(gè)注冊(cè)表項(xiàng)導(dǎo)入


  2.開(kāi)始-運(yùn)行 輸入regedit
  展開(kāi)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
  雙擊Image path 編輯數(shù)值數(shù)據(jù)為
  %systemroot%\system32\svchost.exe -k netsvcs
  確定

注意:SoundMan.exe只有在%SystemRoot%(亦即Windows/WinNT目錄下)才為正常的程序,如果在system32文件夾下,那么多半為病毒,請(qǐng)大家注意甄別。真SoundMan.exe: 

  偽SoundMan.exe:

相關(guān)文章

最新評(píng)論