木马Trojan.Rootkit.m感染系统的表现及手工查杀
这是网友提供的一个样本的观察结果。可执行文件.exe文件名可能有变。大家查杀是务必注意这点。
这是一个驱动级后门。卡巴斯基报:Backdoor.Win32.SdBot.aad;瑞星好像是报:Trojan.Rootkit.m。
一、感染系统后的现象:
1、HijackThis1.99.1日志中可见:
O23 - NT 服务: WIN32Sound - Unknown owner - C:\windows\sounddv.exe
2、IceSword进程列表中可见sounddv.exe。文件位置:C:\windows\sounddv.exe。
3、重启系统后发现:sounddv.exe插入winlogon.exe进程。
二、创建的病毒文件:
1、C:\windows\sounddv.exe
2、C:\windows\system32\hpr34k8.sys。
三、注册表改动:
1、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下
添加注册表项:hpr34k8,指向C:\windows\system32\hpr34k8.sys。
2、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下
添加:WIN32Sound,指向C:\windows\sounddv.exe。
四、查杀方法:
1、先在IceSword的“设置”中勾选“禁止进程创建”,按“确定后,才能结束sounddv.exe进程。
2、C:\windows\system32\hpr34k8.sys可用IceSword直接删除。C:\windows\sounddv.exe已经插入winlogon.exe进程,因此,需用KillBox强行删除之(替换删除)。
3、删除病毒添加的上述注册表项。
感谢“一发”网友提供样本。
