瑞星卡卡安全论坛

http://forum.ikaka.com/topic.asp?board=28&artid=6761453
这是昨天“王渣渣”发的一个样本。当时因为我的兴奋灶在rootkit上，运行后，将病毒文件草草删掉，又用Track'nReverse恢复系统原貌，就了事了。注册表改变、code注入等都没注意看清楚。今天再想玩儿，怪了——它死活不再感染系统了！
你能否仔细观察一下这个东东的行为？

汗,用什么来形容呢..........

已经达到一种境界了

泡泡在线啊，怎么不接招啊？这东东可是能让瑞星残废的！

来了，呵呵，去看看，我得锻炼锻炼
那个不是Rookit啊？QQ爱虫嘛？也就是TopFox吗

我先收藏了，虚拟机被我删了，等我过两天装上再试，看看能不能够接下这一任务，要是不能毕业，baohe你还要教我啊

过两天把虚拟机安上,来玩玩~~!

那现在有什么能让瑞星死亡的病毒呢？

引用:

【天天泡泡的贴子】来了，呵呵，去看看，我得锻炼锻炼 那个不是Rookit啊？QQ爱虫嘛？也就是TopFox吗 ...........................

是QQ爱虫。但和以前的那个不一样了。注册表改变的地方可能比较多。另外，我很好奇的是——它为什么不能第二次感染系统。

引用:

【baohe的贴子】 是QQ爱虫。但和以前的那个不一样了。注册表改变的地方可能比较多。另外，我很好奇的是——它为什么不能第二次感染系统。 ...........................

你前一次运行后删除所造成的？还没见过只能运行一次然后就沉默的病毒吧？

引用:

【天天泡泡的贴子】 你前一次运行后删除所造成的？还没见过只能运行一次然后就沉默的病毒吧？ ...........................

我很晕！今天运行了三次，就是见不到昨天那几个病毒文件了。运行完成后，重启，用卡巴斯基杀毒——什么都没杀到！TPF的Track'nReverse也监测不到什么实质内容了（昨天可是满满的两屏信息！）。

够晕，是不是什么监控软件已经禁止了它的运行了？

引用:

【天天泡泡的贴子】够晕，是不是什么监控软件已经禁止了它的运行了？ ...........................

哦！哦哦！泡泡你提醒我了！我得细细看下我的TPF防护规则了。看看多出什么相关内容没。谢谢泡泡！！

引用:

【baohe的贴子】 哦！哦哦！泡泡你提醒我了！我得细细看下我的TPF防护规则了。看看多出什么相关内容没。谢谢泡泡！！ ...........................

真客气！
我正在找注册表追踪软件呢

引用:

【天天泡泡的贴子】 真客气！ 我正在找注册表追踪软件呢 ...........................

再见！下去了。睡觉喽！

引用:

【baohe的贴子】 再见！下去了。睡觉喽！ ...........................

也该呼呼去了，88

这个应该是病毒的标志:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox
baohe查验一下.

郁闷这不是注册表的路径吗!!?

可以查到东西!!!!!BAOHA请看图片!!!

附件: 435422200571622535.JPG

NOD32防着，它目前进不来．

我已经上报了

引用:

【CrossVirus的贴子】这个应该是病毒的标志:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox baohe查验一下. ...........................

附件: 1558472005716151952.jpg

引用:

【【火影】我爱罗的贴子】可以查到东西!!!!!BAOHA请看图片!!! ...........................

我跟“泡泡”说的不是查不查得到的问题（我下载那个样本时卡巴斯基就能杀它。我是关闭卡巴斯基后才下载成功的）。

估计在染毒机上做了标记类的，不作二次感染？

引用:

【CrossVirus的贴子】这个应该是病毒的标志:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox baohe查验一下. ...........................

附件: 1558472005716153243.jpg

引用:

【艾玛的贴子】估计在染毒机上做了标记类的，不作二次感染？ ...........................

闹不清了！机子里装的乱七八糟的工具太多了。不费这个劲了。

引用:

【baohe的贴子】 闹不清了！机子里装的乱七八糟的工具太多了。不费这个劲了。 ...........................

有没有怀疑过Tiny对注入文件尾部病毒的文件也能还原？

引用:

【艾玛的贴子】 有没有怀疑过Tiny对注入文件尾部病毒的文件也能还原？ ...........................

没注意过。

刚看了一下原贴内容，改文件类的像是不能处理哦


baohe

版主，帮忙看看，现在该怎么搞了
呵呵，谢谢
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTimer] C:\瑞星\RAVTIMER.EXE
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [RavMon] C:\瑞星\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [Net] C:\WINDOWS\System32\SVCH0ST.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://202.107.225.247/plugin/PowerPlr.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7463282-50F2-408B-B40E-E573B6E0806C}: NameServer = 202.96.107.29 202.96.107.28
O23 - Service: TrikWks (Distributed Link trking Client) - Unknown owner - C:\WINDOWS\servics.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\system.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\瑞星\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\瑞星\Ravmond.exe