这是网友提供的一个样本的观察结果。可执行文件.exe文件名可能有变。大家查杀是务必注意这点。 这是一个驱动级后门。卡巴斯基报:Backdoor.Win32.SdBot.aad;瑞星好像是报:Trojan.Rootkit.m。 一、感染系统后的现象: 1、HijackThis1.99.1日志中可见: O23 - NT 服务: WIN32Sound - Unknown owner - C:windowssounddv.exe 2、IceSword进程列表中可见sounddv.exe。文件位置:C:windowssounddv.exe。 3、重启系统后发现:sounddv.exe插入winlogon.exe进程。 //本文来自电脑软硬件应用网www.45its.com 二、创建的病毒文件: 1、C:windowssounddv.exe 2、C:windowssystem32hpr34k8.sys。 三、注册表改动: 1、在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices和 HKEY_LOCAL_MACHINESYSTEMControlSet002Services两个分支下 添加注册表项:hpr34k8,指向C:windowssystem32hpr34k8.sys。 2、在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices和 HKEY_LOCAL_MACHINESYSTEMControlSet002Services两个分支下 添加:WIN32Sound,指向C:windowssounddv.exe。 四、查杀方法: 1、先在IceSword的“设置”中勾选“禁止进程创建”,按“确定后,才能结束sounddv.exe进程。 2、C:windowssystem32hpr34k8.sys可用IceSword直接删除。C:windowssounddv.exe已经插入winlogon.exe进程,因此,需用KillBox强行删除之(替换删除)。 3、删除病毒添加的上述注册表项。 |