|
 | 作者: darken [darken]
 论坛用户 |
登录 |
| 上网不慎中病毒trojan.rootkit.m,特症:在进程中模仿系统进程,感染的文件每个人都不同,我感染的是et54fg.sys,进程关了又会重新生成,文件删了后也会自动生成。。。。。没办法了。。。。。而且重启后一分钟开始发作。CPU占用率达到100%,并且不停的向外发送数据包。。。斯文败类,帮个忙呀 |
| 地主 发表时间: 05-08-30 09:37 |
 | 回复: zhong [zhong]  见习版主 |
登录 |
|
这是一个驱动级后门。卡巴斯基报:Backdoor.Win32.SdBot.aad;瑞星好像是报:Trojan.Rootkit.m。 一、感染系统后的现象: 1、HijackThis1.99.1日志中可见: O23 - NT 服务: WIN32Sound - Unknown owner - C:\windows\sounddv.exe 2、IceSword进程列表中可见sounddv.exe。文件位置:C:\windows\sounddv.exe。 3、重启系统后发现:sounddv.exe插入winlogon.exe进程。 二、创建的病毒文件: 1、C:\windows\sounddv.exe 2、C:\windows\system32\hpr34k8.sys。 三、注册表改动: 1、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下 添加注册表项:hpr34k8,指向C:\windows\system32\hpr34k8.sys。 2、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\两个分支下 添加:WIN32Sound,指向C:\windows\sounddv.exe。 四、查杀方法: 1、先在IceSword的“设置”中勾选“禁止进程创建”,按“确定后,才能结束sounddv.exe进程。 2、C:\windows\system32\hpr34k8.sys可用IceSword直接删除。C:\windows\sounddv.exe已经插入winlogon.exe进程,因此,需用KillBox强行删除之(替换删除)。 3、删除病毒添加的上述注册表项。 |
| B1层 发表时间: 05-09-03 19:32 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 晕啊,好难搞的木马trojan.rootkit.m