发现SoundMan.exe病毒附删除方法

此病毒利用了替换服务等方式启动自身,利用SoundMan.exe这样比较熟悉的程序迷惑人。并具有结束杀毒软件和下载病毒的功能。

  病毒释放如下文件
  %SystemRoot%\system32\ineters.exe
  %SystemRoot%\system32\SoundMan.exe(伪SoundMan.exe,且图标与真实的SoundMan.exe相同)
  %SystemRoot%\system32\tthh3.ini

  所有文件的数字签名均为番茄花园

  如果有新的可移动存储接入 则写入auto.exe和autorun.inf 文件

  调用cmd 通过net stop命令关闭多个服务
  shared access
  KPfwSvc
  KWatchsvc
  McShield
  Notron AntiVirus Server

  结束如下进程
  shstat.exe
  runiep.exe
  ras.exe
  MPG4C32.exe
  imsins.exe
  Iparmor.exe
  360safe.exe
  360tray.exe
  kmailmon.exe
  kavstart.exe
  avp.exe
  ccenter.exe

  修改

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

\Hidden\SHOWALL\CheckedValue值为0x00000006     屏蔽显示隐藏文件

  删除如下文件(为了删除旧版本的病毒文件)
%SystemRoot%\system32\updeta.exe
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\ttzhh.ini
%SystemRoot%\system32\hz3.ini
%SystemRoot%\system32\hz2.ini
%SystemRoot%\system32\1035.ini
%SystemRoot%\system32\tthh.ini
%SystemRoot%\system32\tthh1.ini
%SystemRoot%\system32\tthh2.ini
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\notepd.exe

激活电脑中的guest账户
并且添加一个名为microsoft的账户

将如下信息写入%SystemRoot%\1.inf中
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支

持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
ServiceType=0x10
StartType=2 
ServiceBinary=%11%\ineters.exe
ErrorControl=0

并且安装该服务
使得原先的helpsvc(帮助中心)服务的映像文件被替换为病毒%SystemRoot%\system32\ineters.exe

删除如下安全软件的启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safetray
HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavPFW
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vptray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runeip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RfwMain

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\下面添加映像劫持项目
RavStub.exe
RavMON.exe
RfwMain.exe
rfwsrv.exe
McAgent.exe
mctskshd.exe
mcupdmgr.exe
rtvscan.exe
DefWatch.exe
ccSetMgr.exe
ccEvtMgr.exe
ccSetApp.exe
nod32kui.exe
nod32krn.exe
KWatch.exe
KPfwSvc.exe
KMaiMon.exe
KAVStart.exe
KVWSC.exe
kvsrvxp.exe
PFW.exe

连接网络下载其他病毒
下载地址如下
http://www.*.cn/tthh3/gx.jpg
http://www.*.cn/tthh3/qq.jpg
http://www.*.cn/tthh3/omin.jpg
http://www.*.cn/tthh3/crt.jpg
http://www.*.cn/tthh3/f1.jpg
http://www.*.cn/tthh3/f2.jpg
http://www.*.cn/tthh3/f3.jpg
(实质上均为exe文件,但部分链接已失效)

连接http://www.webye163.cn/ip/ip.asp获得被感染机器的ip地址
并且通过route.exe print命令获得默认网关地址
将其一并写入c:\ip.txt中
之后可能利用这些信息进行arp欺骗等操作...

下载的几个病毒里面有蠕虫病毒,该蠕虫病毒可以扫描附近网段内的135端口..(

具体该病毒的行为没怎么看)

下载完毕后 扫描的sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            [1]
==================================
服务
[Help and Support / helpsvc][Stopped/Auto Start]
     %WINDIR%

\PCHealth\HelpCtr\Binaries\pchsvc.dll>

增加的文件可能有
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe

  解决方法:

  一、清除病毒文件和其创建的注册表项目
  1.打开sreng
  启动项目     注册表 删除如下项目 
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            [1]

  2.打开Icesword
  点击左下角的文件按钮
  删除如下文件
  %SystemRoot%\system32\ineters.exe
  %SystemRoot%\system32\SoundMan.exe
  %SystemRoot%\system32\tthh3.ini
  %SystemRoot%\system32\Alcmtr.exe
  %SystemRoot%\system32\alcwzrd.exe
  %SystemRoot%\system32\qoq.exe

  二、修复系统
  1.请把下面的代码拷入记事本中然后另存为1.reg文件
 Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva

nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

  双击1.reg把这个注册表项导入

  2.开始-运行 输入regedit
  展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
  双击Image path 编辑数值数据为
  %systemroot%\system32\svchost.exe -k netsvcs
  确定

注意:SoundMan.exe只有在%SystemRoot%(亦即Windows/WinNT目录下)才为正常的程序,如果在system32文件夹下,那么多半为病毒,请大家注意甄别。真SoundMan.exe:

  伪SoundMan.exe:

(0)

相关推荐

  • 发现SoundMan.exe病毒附删除方法

    此病毒利用了替换服务等方式启动自身,利用SoundMan.exe这样比较熟悉的程序迷惑人.并具有结束杀毒软件和下载病毒的功能. 病毒释放如下文件 %SystemRoot%\system32\ineters.exe %SystemRoot%\system32\SoundMan.exe(伪SoundMan.exe,且图标与真实的SoundMan.exe相同) %SystemRoot%\system32\tthh3.ini 所有文件的数字签名均为番茄花园 如果有新的可移动存储接入 则写入auto.ex

  • 发现ravmsmon.exe病毒的清除方法

    具体问题具体分析,非本问题的提问者参照时请对比清除. 进入安全模式下操作(重启系统长按F8直到出现提示,然后选择进入安全模式): 解决思路参考: 1.删除以下文件 可借助powerRMV 或者 Xdelbox C:\Program Files\NetMeeting\ravmsmon.exe C:\Program Files\common Files\Microsoft Shared\MSINFO\System6.ins C:\Program Files\Internet Explorer\PLU

  • 关于进程mDNSResponder.exe 总访问网络 附删除方法

    最近开机发现防火墙提示mDNSResponder.exe 总要访问网络,于是我发现了下面的删除mDNSResponder.exe 的方法,各位被mDNSResponder.exe 折磨的用户,可以解脱了,他们官方竟然也提供了mDNSResponder.exe 的删除方法,汗一个mDNSResponder.exe  进程文件:mDNSResponder 或者 mDNSResponder.exe  进程名称: Bonjour for Windows Component 描述:  mDNSRespon

  • rpmsvc.exe,image11.zipMSN蠕虫病毒手动删除方法

    最近网站挂马比较验证,我的电脑的也超卡,建议大家下360safe,文件名称:image.JPG-www.photobucket.com 文件大小:10752 bytes  AV命名:(暂无,哈哈``因为全部过了``) 加壳方式:未知 编写语言:Delphi 病毒类型:IRCBot 文件MD5:0e404cb8b010273ef085afe9c90e8de1 行为: 1.释放病毒副本: %Systemroot%\system32\rpmsvc.exe    10752 字节 C:\Document

  • conime.exe是什么附conime.exe病毒的清除方法

    非常郁闷的事情,最近conime.exe好像又红火起来了,早在2005年就有很多人问conime.exe是什么进程,是病毒吗? 1.conime.exe不一定是病毒,conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号.但也不排除是bfghost1.0远程控制后门程序(伪装成conime.exe输入法进程).此程序允许攻击者访问你的计算机,窃取密码和个人数据.建议立即删除此进程. 2.这里我们介绍下正常conime.exe进程的进程信息: 出品者: 微软 属于: Mi

  • 开机CPU就是100%cmd.exe病毒进程清除方法

    发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

  • 最简单的rundll2000.exe病毒完美解决方法

    关于rundll2000.exe,也不知道是一个什么的病毒.在电脑里也没发现其他怪象,也没有不正常,就是心里看着有点不舒服.机子是我们的...可不想有不速之客来寄居  rundll2000.exe病毒手动清除 重启电脑,进入安全模式(电脑启动时按F8键) 删除以下文件: C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewI

  • Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法

    文件名称:video.exe 文件大小:40960 bytes AV命名:Backdoor.Win32.IRCBot.afm (Kaspersky) 加壳方式:未知 编写语言:Microsoft Visual C++ 病毒类型:IRC后门 文件MD5:c06d070c232bc6ac6346cbd282ef73ae 行为分析: 1.释放病毒副本: %Srstemroot%system32\firewall.exe    40960 字节. (文件名应该是随机的,不一定是这个). 压缩副本病毒,保

  • EXPLORER.EXE病毒手动解决方法

    行为: 1.释放文件: C:\WINDOWS\system\SERVICES.EXE  65536 字节 C:\WINDOWS\system\SYSANALYSIS.EXE  65536 字节 C:\WINDOWS\system\explorer.exe 976896 字节 2.删除备份文件: C:\WINDOWS\system32\dllcache\explorer.exe 3.覆盖系统文件:C:\WINDOWS\explorer.exe 系统启动时先执行病毒体,再执行C:\WINDOWS\s

  • microsoft.exe病毒与清除方法

    最近用超级兔子检测出可疑程序microsoft.exe,位于C:\WINDOWS\system32下,在进程里关了 后又出现在进程里,在安全模式下删了后,重起又有了!~~请问这个是病毒吗?microsoft - microsoft.exe - 进程信息  进程文件: microsoft 或者 microsoft.exe  进程名称: GAOBOT Virus www.sstorm.cn我们的永久域名! 进程名称: microsoft.exe是高波GAOBOT病毒相关程序.该病毒利用Windows

随机推荐