病毒样本由本论坛“njinfo_zhao”上传。
这是一个小巧的下载器（文件大小只有3.63K）。实际上，这个ctfmon.exe就是那个伪Soundman.exe的变种。
其加载方式比较特殊————通过IFEO劫持系统程序ctfmon.exe，使之启动加载时运行windows目录下的病毒程序Soundman.exe。
Soundman.exe访问网络，下载大量木马程序到中招的电脑中。瑞星20.38.50扫tfmon.exe和Soundman.exe，不报毒，仅仅报其下载的一两只木马。汗！

手工查杀流程：

1、打开windows目录下的win.ini，删除下列内容（见图1红框）。保存。
2、将下列文件复制到剪贴板，导入XDELBOX的“待删除文件列表”，用XDELBOX删除下列文件（操作例见图2）：
C:\windows\system32\WSockDrv32.dll
C:\windows\system32\MsIMMs32.dll
C:\windows\system32\mppds.dll
C:\windows\system32\AVPSrv.dll
C:\windows\system32\upxdnd.dll
C:\Program Files\Internet Explorer\PLUGINS\NewSys55.Sys
C:\windows\system32\msepbe.dll
C:\windows\system32\xgnfn.dll
C:\windows\system32\tciocp32.dll
C:\windows\system32\fmsbbqi.dll
C:\windows\system32\msccrt.dll
C:\windows\system32\DbgHlp32.dlL
C:\windows\system32\cmdbcs.dll
C:\windows\system32\wkydulgt.dll
C:\windows\system32\PTSShell.dll
C:\windows\system32\LotusHlp.dll
C:\windows\system32\sehhter.dll
C:\windows\system32\SHAProc.dat
C:\windows\system32\Kvsc3.dll
C:\windows\system32\jzijj.dll
C:\windows\system32\mfchlp32.dll
C:\windows\system32\jwlah.dll
C:\windows\system32\WINSvr32.dll
C:\windows\system32\fjyjy.dll
C:\windows\system32\fehom.dll
C:\windows\MsIMMs32.exE
C:\windows\mppds.exe
C:\windows\AVPSrv.exE
C:\windows\upxdnd.exe
C:\windows\tciocp32.exe
C:\windows\fmsbbqi.exe
C:\windows\msccrt.exe
C:\windows\DbgHlp32.exe
C:\windows\cmdbcs.exe
C:\windows\ywdxmtyz.exe
C:\windows\PTSShell.exe
C:\windows\LotusHlp.exe
C:\windows\WSockDrv32.exe
C:\windows\SHAProc.exe
C:\windows\Kvsc3.exE
C:\windows\mfchlp32.exe
C:\windows\WINSvr32.exE
C:\windows\SoundMan.exe
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmpC.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp9.tmp
C:\windows\system32\drivers\msosfpids32.sys
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp10.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp11.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp1D.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp20.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp22.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp24.tmp
C:\WINDOWS\SYSTEM32\C7.EXE
C:\WINDOWS\SYSTEM32\C8.EXE
C:\WINDOWS\SYSTEM32\C9.EXE
C:\WINDOWS\SYSTEM32\C10.EXE
C:\WINDOWS\SYSTEM32\C19.EXE
C:\WINDOWS\SYSTEM32\C25.EXE
C:\WINDOWS\SYSTEM32\C30.EXE
C:\WINDOWS\SYSTEM32\C32.EXE
C:\WINDOWS\SYSTEM32\C34.EXE
C:\WINDOWS\SYSTEM32\C35.EXE
C:\WINDOWS\SYSTEM32\C36.EXE
3、由于userinit.exe文件被病毒替换，删除上述病毒文件，重启后无法登录系统。再次重启。按本本左上方的蓝键thinkvantage，进入R&R，从系统备份中恢复userinit.exe到system32目录。重启。（此步操作仅仅适用于有R&R备份/还原工具的电脑）
没有R&R工具或没有系统备份者，可以用系统光盘启动系统，用控制台修复系统。
4、重启后，用autoruns查看、比对加载项（图3）。一一删除这些加载项即可。
5、日志中看不到的这些病毒文件（图4），要自己找到并删除。

注意：此毒每次下载的病毒文件名均有所不同。中此毒者求助时，应提供中招电脑的完整SRENG日志。否则，别人无法帮你分析、制定手工杀毒流程。


图1

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

图2

图3
（图太大。只好用RAR方式上传。）

图4

userinit.exe文件虽然被替换为病毒文件。

那么在不删除userinit.exe的情况下，只删除别的病毒文件，也会导致不能进系统了吗？？？

引用:

【天月来了的贴子】userinit.exe文件虽然被替换为病毒文件。 那么在不删除userinit.exe的情况下，仍然不能进系统了吗？？？ ………………

我并没动userinit.exe。尽管知道它是病毒替换过的。我就是想看看删除那堆病毒文件后会是什么样子。
结果，就是不让你进系统（用户设置还没加载完，就注销用户。）

这次可苦了网络求助的了。

呵呵！！！！

继续学习猫叔的帖子
都是些加载时比较特殊的病毒

叔,这几天遇到几个伪soundman的病毒

能清除,就是麻烦
现在的病毒加载的DD太多了~~~~~

这新变种瑞星米反映??