这是一个小巧的下载器(文件大小只有3.63K)。实际上,这个ctfmon.exe就是那个伪Soundman.exe的变种。
其加载方式比较特殊————通过IFEO劫持系统程序ctfmon.exe,使之启动加载时运行windows目录下的病毒程序Soundman.exe。
Soundman.exe访问网络,下载大量木马程序到中招的电脑中。瑞星20.38.50扫tfmon.exe和Soundman.exe,不报毒,仅仅报其下载的一两只木马。汗!
手工查杀流程:
1、打开windows目录下的win.ini,删除下列内容(见图1红框)。保存。
2、将下列文件复制到剪贴板,导入XDELBOX的“待删除文件列表”,用XDELBOX删除下列文件(操作例见图2):
C:\windows\system32\WSockDrv32.dll
C:\windows\system32\MsIMMs32.dll
C:\windows\system32\mppds.dll
C:\windows\system32\AVPSrv.dll
C:\windows\system32\upxdnd.dll
C:\Program Files\Internet Explorer\PLUGINS\NewSys55.Sys
C:\windows\system32\msepbe.dll
C:\windows\system32\xgnfn.dll
C:\windows\system32\tciocp32.dll
C:\windows\system32\fmsbbqi.dll
C:\windows\system32\msccrt.dll
C:\windows\system32\DbgHlp32.dlL
C:\windows\system32\cmdbcs.dll
C:\windows\system32\wkydulgt.dll
C:\windows\system32\PTSShell.dll
C:\windows\system32\LotusHlp.dll
C:\windows\system32\sehhter.dll
C:\windows\system32\SHAProc.dat
C:\windows\system32\Kvsc3.dll
C:\windows\system32\jzijj.dll
C:\windows\system32\mfchlp32.dll
C:\windows\system32\jwlah.dll
C:\windows\system32\WINSvr32.dll
C:\windows\system32\fjyjy.dll
C:\windows\system32\fehom.dll
C:\windows\MsIMMs32.exE
C:\windows\mppds.exe
C:\windows\AVPSrv.exE
C:\windows\upxdnd.exe
C:\windows\tciocp32.exe
C:\windows\fmsbbqi.exe
C:\windows\msccrt.exe
C:\windows\DbgHlp32.exe
C:\windows\cmdbcs.exe
C:\windows\ywdxmtyz.exe
C:\windows\PTSShell.exe
C:\windows\LotusHlp.exe
C:\windows\WSockDrv32.exe
C:\windows\SHAProc.exe
C:\windows\Kvsc3.exE
C:\windows\mfchlp32.exe
C:\windows\WINSvr32.exE
C:\windows\SoundMan.exe
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmpC.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp9.tmp
C:\windows\system32\drivers\msosfpids32.sys
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp10.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp11.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp1D.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp20.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp22.tmp
C:\DOCUME~1\baohelin\LOCALS~1\Temp\tmp24.tmp
C:\WINDOWS\SYSTEM32\C7.EXE
C:\WINDOWS\SYSTEM32\C8.EXE
C:\WINDOWS\SYSTEM32\C9.EXE
C:\WINDOWS\SYSTEM32\C10.EXE
C:\WINDOWS\SYSTEM32\C19.EXE
C:\WINDOWS\SYSTEM32\C25.EXE
C:\WINDOWS\SYSTEM32\C30.EXE
C:\WINDOWS\SYSTEM32\C32.EXE
C:\WINDOWS\SYSTEM32\C34.EXE
C:\WINDOWS\SYSTEM32\C35.EXE
C:\WINDOWS\SYSTEM32\C36.EXE
3、由于userinit.exe文件被病毒替换,删除上述病毒文件,重启后无法登录系统。再次重启。按本本左上方的蓝键thinkvantage,进入R&R,从系统备份中恢复userinit.exe到system32目录。重启。(此步操作仅仅适用于有R&R备份/还原工具的电脑)
没有R&R工具或没有系统备份者,可以用系统光盘启动系统,用控制台修复系统。
4、重启后,用autoruns查看、比对加载项(图3)。一一删除这些加载项即可。
5、日志中看不到的这些病毒文件(图4),要自己找到并删除。
注意:此毒每次下载的病毒文件名均有所不同。中此毒者求助时,应提供中招电脑的完整SRENG日志。否则,别人无法帮你分析、制定手工杀毒流程。
|
