快捷導(dǎo)航

發(fā)現(xiàn)SoundMan.exe病毒附刪除方法

更新時(shí)間：2007年10月15日 23:06:28 作者：

此病毒利用了替換服務(wù)等方式啟動(dòng)自身，利用SoundMan.exe這樣比較熟悉的程序迷惑人。并具有結(jié)束殺毒軟件和下載病毒的功能。

　　病毒釋放如下文件
　　%SystemRoot%\system32\ineters.exe
　　%SystemRoot%\system32\SoundMan.exe（偽SoundMan.exe，且圖標(biāo)與真實(shí)的SoundMan.exe相同）
　　%SystemRoot%\system32\tthh3.ini

　　所有文件的數(shù)字簽名均為番茄花園

　　如果有新的可移動(dòng)存儲(chǔ)接入則寫(xiě)入auto.exe和autorun.inf 文件

　　調(diào)用cmd 通過(guò)net stop命令關(guān)閉多個(gè)服務(wù)
　　shared access
　　KPfwSvc
　　KWatchsvc
　　McShield
　　Notron AntiVirus Server

　　結(jié)束如下進(jìn)程
　　shstat.exe
　　runiep.exe
　　ras.exe
　　MPG4C32.exe
　　imsins.exe
　　Iparmor.exe
　　360safe.exe
　　360tray.exe
　　kmailmon.exe
　　kavstart.exe
　　avp.exe
　　ccenter.exe

　　修改

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

\Hidden\SHOWALL\CheckedValue值為0x00000006     屏蔽顯示隱藏文件

　　刪除如下文件（為了刪除舊版本的病毒文件）
%SystemRoot%\system32\updeta.exe
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\ttzhh.ini
%SystemRoot%\system32\hz3.ini
%SystemRoot%\system32\hz2.ini
%SystemRoot%\system32\1035.ini
%SystemRoot%\system32\tthh.ini
%SystemRoot%\system32\tthh1.ini
%SystemRoot%\system32\tthh2.ini
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\notepd.exe

激活電腦中的guest賬戶
并且添加一個(gè)名為microsoft的賬戶

將如下信息寫(xiě)入%SystemRoot%\1.inf中
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=啟用在此計(jì)算機(jī)上運(yùn)行幫助和支持中心。如果停止服務(wù)，幫助和支

持中心將不可用。如果禁用服務(wù)，任何直接依賴于此服務(wù)的服務(wù)將無(wú)法啟動(dòng)。
ServiceType=0x10
StartType=2
ServiceBinary=%11%\ineters.exe
ErrorControl=0

并且安裝該服務(wù)
使得原先的helpsvc（幫助中心）服務(wù)的映像文件被替換為病毒%SystemRoot%\system32\ineters.exe

刪除如下安全軟件的啟動(dòng)項(xiàng)目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safetray
HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavPFW
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vptray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runeip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RfwMain

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\下面添加映像劫持項(xiàng)目
RavStub.exe
RavMON.exe
RfwMain.exe
rfwsrv.exe
McAgent.exe
mctskshd.exe
mcupdmgr.exe
rtvscan.exe
DefWatch.exe
ccSetMgr.exe
ccEvtMgr.exe
ccSetApp.exe
nod32kui.exe
nod32krn.exe
KWatch.exe
KPfwSvc.exe
KMaiMon.exe
KAVStart.exe
KVWSC.exe
kvsrvxp.exe
PFW.exe

連接網(wǎng)絡(luò)下載其他病毒
下載地址如下
http://www.*.cn/tthh3/gx.jpg
http://www.*.cn/tthh3/qq.jpg
http://www.*.cn/tthh3/omin.jpg
http://www.*.cn/tthh3/crt.jpg
http://www.*.cn/tthh3/f1.jpg
http://www.*.cn/tthh3/f2.jpg
http://www.*.cn/tthh3/f3.jpg
（實(shí)質(zhì)上均為exe文件，但部分鏈接已失效）

連接http://www.webye163.cn/ip/ip.asp獲得被感染機(jī)器的ip地址
并且通過(guò)route.exe print命令獲得默認(rèn)網(wǎng)關(guān)地址
將其一并寫(xiě)入c:\ip.txt中
之后可能利用這些信息進(jìn)行arp欺騙等操作...

下載的幾個(gè)病毒里面有蠕蟲(chóng)病毒，該蠕蟲(chóng)病毒可以掃描附近網(wǎng)段內(nèi)的135端口..(

具體該病毒的行為沒(méi)怎么看)

下載完畢后掃描的sreng日志如下
啟動(dòng)項(xiàng)目
注冊(cè)表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            [1]
==================================
服務(wù)
[Help and Support / helpsvc][Stopped/Auto Start]
     %WINDIR%

\PCHealth\HelpCtr\Binaries\pchsvc.dll>

增加的文件可能有
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe

　　解決方法：

　　一、清除病毒文件和其創(chuàng)建的注冊(cè)表項(xiàng)目
　　1.打開(kāi)sreng
　　啟動(dòng)項(xiàng)目     注冊(cè)表刪除如下項(xiàng)目
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            [1]

　　2.打開(kāi)Icesword
　　點(diǎn)擊左下角的文件按鈕
　　刪除如下文件
　　%SystemRoot%\system32\ineters.exe
　　%SystemRoot%\system32\SoundMan.exe
　　%SystemRoot%\system32\tthh3.ini
　　%SystemRoot%\system32\Alcmtr.exe
　　%SystemRoot%\system32\alcwzrd.exe
　　%SystemRoot%\system32\qoq.exe

　　二、修復(fù)系統(tǒng)
　　1.請(qǐng)把下面的代碼拷入記事本中然后另存為1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva

nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

　　雙擊1.reg把這個(gè)注冊(cè)表項(xiàng)導(dǎo)入

　　2.開(kāi)始－運(yùn)行輸入regedit
　　展開(kāi)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
　　雙擊Image path 編輯數(shù)值數(shù)據(jù)為
　　%systemroot%\system32\svchost.exe -k netsvcs
　　確定

注意:SoundMan.exe只有在%SystemRoot%（亦即Windows/WinNT目錄下）才為正常的程序，如果在system32文件夾下，那么多半為病毒，請(qǐng)大家注意甄別。真SoundMan.exe:

　　偽SoundMan.exe: