瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛木马Trojan.Rootkit.m感染系统的表现及手工查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

木马Trojan.Rootkit.m感染系统的表现及手工查杀

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-08-14 14:41 \| 显示全部短消息资料字号：小中大 1楼木马Trojan.Rootkit.m感染系统的表现及手工查杀这是网友提供的一个样本的观察结果。可执行文件.exe文件名可能有变。大家查杀是务必注意这点。这是一个驱动级后门。卡巴斯基报：Backdoor.Win32.SdBot.aad；瑞星好像是报：Trojan.Rootkit.m。一、感染系统后的现象： 1、HijackThis1.99.1日志中可见： O23 - NT 服务: WIN32Sound - Unknown owner - C:\windows\sounddv.exe 2、IceSword进程列表中可见sounddv.exe。文件位置：C:\windows\sounddv.exe。 3、重启系统后发现：sounddv.exe插入winlogon.exe进程。二、创建的病毒文件： 1、C:\windows\sounddv.exe 2、C:\windows\system32\hpr34k8.sys。三、注册表改动： 1、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下添加注册表项：hpr34k8，指向C:\windows\system32\hpr34k8.sys。 2、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下添加：WIN32Sound，指向C:\windows\sounddv.exe。四、查杀方法： 1、先在IceSword的“设置”中勾选“禁止进程创建”，按“确定后，才能结束sounddv.exe进程。 2、C:\windows\system32\hpr34k8.sys可用IceSword直接删除。C:\windows\sounddv.exe已经插入winlogon.exe进程，因此，需用KillBox强行删除之（替换删除）。 3、删除病毒添加的上述注册表项。感谢“一发”网友提供样本。 2006-02-16 15:45:48
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2005-08-14 15:32 | 显示全部 短消息资料

字号：小中大 2楼

引用:

【花落花又开的贴子】够简洁!

关于驱动级木马的*.sys够比较难找.主要没好工具- -``
...........................

这个hpr34k8.sys被TPF2005的Track'nReverse漏掉了！

但TPF2005的Activity Monitor监控日志中可以看到其创建记录。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2005-08-14 17:22 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【wangzd的贴子】版主大哥，好像不行啊！我这里没有sounddv.exe这个进程啊！但是有hpr34k8.sys这个文件啊！而且在安全模式下删除后，重启又会再有！请问怎么办？而且经常会自己打开浏览器，进入这个网址！http://217.170.4.137/_vti_bin/index.html大哥一定要帮帮我啊！
...........................

请用 HijackThis1.99.1扫个日志贴上来看看。

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-08-14 17:52 \| 显示全部短消息资料字号：小中大 4楼【回复“wangzd”的帖子】 O23 - Service: hpdriver - Unknown owner - C:\WINNT\hpdriver.exe 就是它！C:\WINNT\hpdriver.exe这个东东插入winlogon.exe。有效的办法是——用KillBox强行删除它（请选择“替换删除”）。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-08-14 19:14 \| 显示全部短消息资料字号：小中大 5楼【回复“wangzd”的帖子】日志看不出异常了。如果那个.sys也删了，就行了。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2005-08-14 20:24 | 显示全部 短消息资料

字号：小中大 6楼

引用:

【JayFaye的贴子】老大，我要样本，55555555555555555555555
...........................

拿去吧——附件中。解压密码：virus
提醒其它人：附件是病毒，下载前三思。

附件:

文件名:1558472005814202426.rar

下载次数:0

文件类型:application/octet-stream

文件大小:

上传时间:2005-8-14 20:24:31

描述:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2005-08-14 20:42 | 显示全部 短消息资料

字号：小中大 7楼

引用:

【hacken8888的贴子】请问班主Trojan.Rootkit.k是怎么查杀的
...........................

请那病毒样本来。没样本，我无法谈查杀方法。

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-08-14 21:53 \| 显示全部短消息资料字号：小中大 8楼【回复“hacken8888”的帖子】如何将病毒样本上传到论坛——写给请求帮助的新手 http://forum.ikaka.com/topic.asp?board=28&artid=6267232 rootkit木马查杀实录 http://forum.ikaka.com/topic.asp?board=28&artid=6787830
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-08-14 22:38 \| 显示全部短消息资料字号：小中大 9楼【回复“hacken8888”的帖子】 O23 - Service: Windows Configuration Loader - Unknown owner - C:\WINNT\svchost.exe 木马。可能是灰鸽子。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2005-08-15 10:13 | 显示全部 短消息资料

字号：小中大 10楼

引用:

【小菜鸟37的贴子】IceSword怎么打开啊KillBox是什么啊，哪里有下吗，我是超级菜的啊
...........................

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
这个帖子的3-4楼附件

<<上一主题|下一主题>>

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-08-14 14:41 \| 显示全部短消息资料字号：小中大 1楼木马Trojan.Rootkit.m感染系统的表现及手工查杀这是网友提供的一个样本的观察结果。可执行文件.exe文件名可能有变。大家查杀是务必注意这点。这是一个驱动级后门。卡巴斯基报：Backdoor.Win32.SdBot.aad；瑞星好像是报：Trojan.Rootkit.m。一、感染系统后的现象： 1、HijackThis1.99.1日志中可见： O23 - NT 服务: WIN32Sound - Unknown owner - C:\windows\sounddv.exe 2、IceSword进程列表中可见sounddv.exe。文件位置：C:\windows\sounddv.exe。 3、重启系统后发现：sounddv.exe插入winlogon.exe进程。二、创建的病毒文件： 1、C:\windows\sounddv.exe 2、C:\windows\system32\hpr34k8.sys。三、注册表改动： 1、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下添加注册表项：hpr34k8，指向C:\windows\system32\hpr34k8.sys。 2、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下添加：WIN32Sound，指向C:\windows\sounddv.exe。四、查杀方法： 1、先在IceSword的“设置”中勾选“禁止进程创建”，按“确定后，才能结束sounddv.exe进程。 2、C:\windows\system32\hpr34k8.sys可用IceSword直接删除。C:\windows\sounddv.exe已经插入winlogon.exe进程，因此，需用KillBox强行删除之（替换删除）。 3、删除病毒添加的上述注册表项。感谢“一发”网友提供样本。 2006-02-16 15:45:48
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 木马Trojan.Rootkit.m感染系统的表现及手工查杀

木马Trojan.Rootkit.m感染系统的表现及手工查杀

木马Trojan.Rootkit.m感染系统的表现及手工查杀

附件:

文件名:1558472005814202426.rar 下载次数:0 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(0); 上传时间:2005-8-14 20:24:31 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛木马Trojan.Rootkit.m感染系统的表现及手工查杀

文件名:1558472005814202426.rar

下载次数:0

文件类型:application/octet-stream

文件大小:

上传时间:2005-8-14 20:24:31

描述: