论坛: 病毒专区 标题: 晕啊,好难搞的木马trojan.rootkit.m 复制本贴地址    
作者: darken [darken]    论坛用户   登录
上网不慎中病毒trojan.rootkit.m,特症:在进程中模仿系统进程,感染的文件每个人都不同,我感染的是et54fg.sys,进程关了又会重新生成,文件删了后也会自动生成。。。。。没办法了。。。。。而且重启后一分钟开始发作。CPU占用率达到100%,并且不停的向外发送数据包。。。斯文败类,帮个忙呀

地主 发表时间: 05-08-30 09:37

回复: 20CN稻草人 [zhong]   见习版主   登录
这是一个驱动级后门。卡巴斯基报:Backdoor.Win32.SdBot.aad;瑞星好像是报:Trojan.Rootkit.m。

一、感染系统后的现象:
1、HijackThis1.99.1日志中可见:
O23 - NT 服务: WIN32Sound - Unknown owner - C:\windows\sounddv.exe
2、IceSword进程列表中可见sounddv.exe。文件位置:C:\windows\sounddv.exe。
3、重启系统后发现:sounddv.exe插入winlogon.exe进程。

二、创建的病毒文件:
1、C:\windows\sounddv.exe
2、C:\windows\system32\hpr34k8.sys。

三、注册表改动:
1、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下
添加注册表项:hpr34k8,指向C:\windows\system32\hpr34k8.sys。

2、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下
添加:WIN32Sound,指向C:\windows\sounddv.exe。

四、查杀方法:

1、先在IceSword的“设置”中勾选“禁止进程创建”,按“确定后,才能结束sounddv.exe进程。
2、C:\windows\system32\hpr34k8.sys可用IceSword直接删除。C:\windows\sounddv.exe已经插入winlogon.exe进程,因此,需用KillBox强行删除之(替换删除)。
3、删除病毒添加的上述注册表项。


B1层 发表时间: 05-09-03 19:32

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号