发现SoundMan.exe病毒附删除方法

所属分类：实用技巧 / 病毒查杀阅读数： 1387

收藏 0赞 0分享

此病毒利用了替换服务等方式启动自身，利用SoundMan.exe这样比较熟悉的程序迷惑人。并具有结束杀毒软件和下载病毒的功能。

　　病毒释放如下文件
　　%SystemRoot%\system32\ineters.exe
　　%SystemRoot%\system32\SoundMan.exe（伪SoundMan.exe，且图标与真实的SoundMan.exe相同）
　　%SystemRoot%\system32\tthh3.ini

　　所有文件的数字签名均为番茄花园

　　如果有新的可移动存储接入则写入auto.exe和autorun.inf 文件

　　调用cmd 通过net stop命令关闭多个服务
　　shared access
　　KPfwSvc
　　KWatchsvc
　　McShield
　　Notron AntiVirus Server

　　结束如下进程
　　shstat.exe
　　runiep.exe
　　ras.exe
　　MPG4C32.exe
　　imsins.exe
　　Iparmor.exe
　　360safe.exe
　　360tray.exe
　　kmailmon.exe
　　kavstart.exe
　　avp.exe
　　ccenter.exe

　　修改

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

\Hidden\SHOWALL\CheckedValue值为0x00000006     屏蔽显示隐藏文件

　　删除如下文件（为了删除旧版本的病毒文件）
%SystemRoot%\system32\updeta.exe
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\ttzhh.ini
%SystemRoot%\system32\hz3.ini
%SystemRoot%\system32\hz2.ini
%SystemRoot%\system32\1035.ini
%SystemRoot%\system32\tthh.ini
%SystemRoot%\system32\tthh1.ini
%SystemRoot%\system32\tthh2.ini
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\notepd.exe

激活电脑中的guest账户
并且添加一个名为microsoft的账户

将如下信息写入%SystemRoot%\1.inf中
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支

持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。
ServiceType=0x10
StartType=2
ServiceBinary=%11%\ineters.exe
ErrorControl=0

并且安装该服务
使得原先的helpsvc（帮助中心）服务的映像文件被替换为病毒%SystemRoot%\system32\ineters.exe

删除如下安全软件的启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safetray
HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavPFW
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vptray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runeip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RfwMain

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\下面添加映像劫持项目
RavStub.exe
RavMON.exe
RfwMain.exe
rfwsrv.exe
McAgent.exe
mctskshd.exe
mcupdmgr.exe
rtvscan.exe
DefWatch.exe
ccSetMgr.exe
ccEvtMgr.exe
ccSetApp.exe
nod32kui.exe
nod32krn.exe
KWatch.exe
KPfwSvc.exe
KMaiMon.exe
KAVStart.exe
KVWSC.exe
kvsrvxp.exe
PFW.exe

连接网络下载其他病毒
下载地址如下
http://www.*.cn/tthh3/gx.jpg
http://www.*.cn/tthh3/qq.jpg
http://www.*.cn/tthh3/omin.jpg
http://www.*.cn/tthh3/crt.jpg
http://www.*.cn/tthh3/f1.jpg
http://www.*.cn/tthh3/f2.jpg
http://www.*.cn/tthh3/f3.jpg
（实质上均为exe文件，但部分链接已失效）

连接http://www.webye163.cn/ip/ip.asp获得被感染机器的ip地址
并且通过route.exe print命令获得默认网关地址
将其一并写入c:\ip.txt中
之后可能利用这些信息进行arp欺骗等操作...

下载的几个病毒里面有蠕虫病毒，该蠕虫病毒可以扫描附近网段内的135端口..(

具体该病毒的行为没怎么看)

下载完毕后扫描的sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            [1]
==================================
服务
[Help and Support / helpsvc][Stopped/Auto Start]
     %WINDIR%

\PCHealth\HelpCtr\Binaries\pchsvc.dll>

增加的文件可能有
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe

　　解决方法：

　　一、清除病毒文件和其创建的注册表项目
　　1.打开sreng
　　启动项目     注册表删除如下项目
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            [1]

　　2.打开Icesword
　　点击左下角的文件按钮
　　删除如下文件
　　%SystemRoot%\system32\ineters.exe
　　%SystemRoot%\system32\SoundMan.exe
　　%SystemRoot%\system32\tthh3.ini
　　%SystemRoot%\system32\Alcmtr.exe
　　%SystemRoot%\system32\alcwzrd.exe
　　%SystemRoot%\system32\qoq.exe

　　二、修复系统
　　1.请把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva

nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

　　双击1.reg把这个注册表项导入

　　2.开始－运行输入regedit
　　展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
　　双击Image path 编辑数值数据为
　　%systemroot%\system32\svchost.exe -k netsvcs
　　确定

注意:SoundMan.exe只有在%SystemRoot%（亦即Windows/WinNT目录下）才为正常的程序，如果在system32文件夹下，那么多半为病毒，请大家注意甄别。真SoundMan.exe:

　　伪SoundMan.exe:

更多精彩内容其他人还在看

发现SoundMan.exe病毒附删除方法

recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法

IO.pif变种分析清除(兼答avzx，kvdx，等随机7位字母的dll木马群的方法

清除中国网络游戏木马外挂黑客技术大全

iexplore.exe在打开网页时CPU使用会100%的解决方法

Auto病毒专杀 V2.0b5_简体中文绿色免费版提供下载

桌面不显示图标的盗号木马清除方法

巧妙从进程中判断出病毒和木马的方法

4月4日更新的最新Auto病毒专杀软件 V2.0b3 下载

关于Rising病毒的查杀

new win32病毒完美解决方案与清除技巧

网络赚钱

站长故事

发现SoundMan.exe病毒附删除方法

recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法

IO.pif变种分析清除(兼答avzx*，kvdx*，等随机7位字母的dll木马群的方法

清除中国网络游戏木马外挂黑客技术大全

iexplore.exe在打开网页时CPU使用会100%的解决方法

Auto病毒专杀 V2.0b5_简体中文绿色免费版 提供下载

桌面不显示图标的盗号木马清除方法

巧妙从进程中判断出病毒和木马的方法

4月4日更新的最新Auto病毒专杀软件 V2.0b3 下载

关于Rising病毒的查杀

new win32病毒完美解决方案与清除技巧

网络赚钱

站长故事

IO.pif变种分析清除(兼答avzx，kvdx，等随机7位字母的dll木马群的方法

Auto病毒专杀 V2.0b5_简体中文绿色免费版提供下载