这是声卡好不好。。。。cthelper.exe是创新Creative公司Soundblaster声卡的程序。。它是一个第三方的声卡相关插件。。软件。。这可能是木马。。也可能不是。。反正就是老弹对话框。也肯定不是什么好东西。。猴子。。360对这个cthelper.exe不管用。。杀软也不撑。。就手动解决。。c:\program files\realtek是这病毒的主目录。。其中的smss.exe应该就是它的主程序。。C:\program files\common files\下有个microsoft文件夹。。这也是这病毒搞出来的。。删了。不好删。。看下面的。。猴子。。 首先。。到服务里把Shell Hardware Detection给停了。。重启进安全模式。。删掉realtek和microsoft这两个文件夹。。common files下的CTHELPER.EXE。。Ravstub.exe。。com.run。。krnln.fnr也删了。。然后打开注册表搜cthelper.exe。。能搜到一个shell的键。。键值里是explorer.exe cthelper.exe。。把后面的cthelper.exe删掉只保留explorer.exe。。应该就好了。。 在硬盘上查找这两个木马文件,发现都在 C:\Program Files\Common Files\Microsoft 目录下,微软的共享文件应该在 C:\Program Files\Common Files\Microsoft Shared 目录下,所以,这个目录名本身就很可疑!进入目录,发现 CTHELPER.EXE!看来,这个文件也不是什么好东西。进入子目录,还发现 ntserver.exe,nvsvc64.exe,webinstall.exe 文件。 把目录中的所有文件删除,还剩一个 nvsvc64.exe,于是杀掉进程中的 nvsvc64.exe,删除文件,但是发现又开始出现广告,打开进程管理器,发现 CTHELPER.EXE、Rundll128.exe、webtc.exe 等又重新出现,再看那个目录,所有文件都重新出现。另外,发现 C:\Program Files\Common Files 下也有那几个病毒文件。 用 360 查启动项,有一个和 CTHELPER.EXE 相关的,说不能修复,于是打开注册表编辑器,找到它,在 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell 下,显示 Explorer.exe C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE,所以,这个木马,应该是借助 Winlogon 的 Shell 来启动的了。把它删除,再重新建立 shell,报告重名,刷新,发现 shell 已经重新出现,而且值还是 Explorer.exe C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE! 这个病毒作为 winlogon 的 shell 启动,所以,恐怕即使使用安全模式启动,也没有办法不让它加载,而且,把注册表修改回去和重新生成这些文件的,应该才是真正的病毒主体,我却还不知道它是哪个文件。 下载了 RegMon,监视写入,用注册表编辑器修改 winlogon 的 shell,发现一个程序马上把它修改了回来,这个进程叫 smss.exe:520 ,于是在网上查找 smss.exe,发现,有这么一个病毒也叫 smss.exe,正常的 smss.exe 应该在 system32 目录,而我的这个在 C:\Program Files\Common Files\System\smss.exe。 再用 FileMon 监视文件写入,发现,进行这些文件回写的也是这个程序,所以,看来它才是罪魁祸首! 现在唯一问题是,我不知道它怎么启动的,进程管理器中,也没有它的名字。 在注册表里查找 smss.exe,先在 HKLM\SYSTEM\ControlSet001\Control\Terminal Server\SysProcs 中找到,后在 HKLM\SYSTEM\ControlSet001\Services\Intel(R) Matrix Storage S Monitor 中找到,Intel 什么的这个名字很眼熟,好像在 Windows 服务列表里有看到过。 于是,打开服务列表,找到这个服务,它竟然不允许停止,于是禁用之,重新启动到安全模式,杀掉进程里的 CTHELPER.EXE,删除所有病毒相关文件,重新启动,出现找不到 CTHELPER.EXE 的错误,呵呵,再次修改注册表,将 winlogon 的 shell 改回原始,没有进程再修改它,整个世界安静了。。猴子。
