当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
木马Trojan.Rootkit.m感染系统的表现及手工查杀 | |||
2006-9-18 10:11:49 文/佚名 出处:电脑软硬件应用网 | |||
这是一个驱动级后门。卡巴斯基报:Backdoor.Win32.SdBot.aad;瑞星好像是报:Trojan.Rootkit.m。 一、感染系统后的现象: 1、HijackThis1.99.1日志中可见: O23 - NT 服务: WIN32Sound - Unknown owner - C:windowssounddv.exe 2、IceSword进程列表中可见sounddv.exe。文件位置:C:windowssounddv.exe。 3、重启系统后发现:sounddv.exe插入winlogon.exe进程。 //本文来自电脑软硬件应用网www.45its.com 二、创建的病毒文件: 1、C:windowssounddv.exe 2、C:windowssystem32hpr34k8.sys。 三、注册表改动: 1、在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices和 HKEY_LOCAL_MACHINESYSTEMControlSet002Services两个分支下 添加注册表项:hpr34k8,指向C:windowssystem32hpr34k8.sys。 2、在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices和 HKEY_LOCAL_MACHINESYSTEMControlSet002Services两个分支下 添加:WIN32Sound,指向C:windowssounddv.exe。 四、查杀方法: 1、先在IceSword的“设置”中勾选“禁止进程创建”,按“确定后,才能结束sounddv.exe进程。 2、C:windowssystem32hpr34k8.sys可用IceSword直接删除。C:windowssounddv.exe已经插入winlogon.exe进程,因此,需用KillBox强行删除之(替换删除)。 3、删除病毒添加的上述注册表项。 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |