木马Trojan.Rootkit.m感染系统的表现及手工查杀

这是网友提供的一个样本的观察结果。可执行文件.exe文件名可能有变。大家查杀是务必注意这点。

这是一个驱动级后门。卡巴斯基报：Backdoor.Win32.SdBot.aad；瑞星好像是报：Trojan.Rootkit.m。

一、感染系统后的现象：
1、HijackThis1.99.1日志中可见：
O23 - NT 服务: WIN32Sound - Unknown owner - C:windowssounddv.exe
2、IceSword进程列表中可见sounddv.exe。文件位置：C:windowssounddv.exe。
3、重启系统后发现：sounddv.exe插入winlogon.exe进程。

二、创建的病毒文件：
1、C:windowssounddv.exe
2、C:windowssystem32hpr34k8.sys。

三、注册表改动：
1、在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices和
HKEY_LOCAL_MACHINESYSTEMControlSet002Services两个分支下
添加注册表项：hpr34k8，指向C:windowssystem32hpr34k8.sys。

2、在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices和
HKEY_LOCAL_MACHINESYSTEMControlSet002Services两个分支下
添加：WIN32Sound，指向C:windowssounddv.exe。

四、查杀方法：

1、先在IceSword的“设置”中勾选“禁止进程创建”，按“确定后，才能结束sounddv.exe进程。
2、C:windowssystem32hpr34k8.sys可用IceSword直接删除。C:windowssounddv.exe已经插入winlogon.exe进程，因此，需用KillBox强行删除之（替换删除）。
3、删除病毒添加的上述注册表项。