baohe - 2005-8-8 20:47:00
| 引用: |
【情如梦的贴子】我朋友機器得,老大解決下拉!謝謝
半年多沒來拉!哈
........................... |
附件已经下载。
你这家伙!我以为你“人间蒸发”了!!
Brzzz-左岸 - 2005-8-8 20:58:00
1.创建下列文件:
%System%\winsocks.dll, 91136字节
%Windir%\intren0t.exe, 91136字节
2.修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t" = %Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
分析完毕
情如梦 - 2005-8-8 21:06:00
| 引用: |
【Brzzz-左岸的贴子】1.创建下列文件:
%Windir%\intren0t.exe, 91136字节
........................... |
這個位置是
D:\WINDOWS\system32\drivers
嘛?
baohe - 2005-8-8 21:07:00
【回复“情如梦”的帖子】
附件是个QQ盗号木马(Trojan-PSW.Win32.QQpass.cv,卡巴斯基报)。很变态呀!!
看图吧。
图1
附件:
155847200588210720.jpg
baohe - 2005-8-8 21:08:00
baohe - 2005-8-8 21:08:00
baohe - 2005-8-8 21:09:00
baohe - 2005-8-8 21:10:00
情如梦 - 2005-8-8 21:13:00
不知道手動能否幹凈哦,老大,刪除在創建?那不是沒完沒暸嘛?
或者叫她裝KAV在安全糢式能殺幹凈
baohe - 2005-8-8 21:18:00
| 引用: |
【情如梦的贴子】不知道手動能否幹凈哦,老大,刪除在創建?那不是沒完沒暸嘛?
或者叫她裝KAV在安全糢式能殺幹凈
........................... |
结束那个木马进程后,木马文件在普通WINDOWS下就可删除。但是,那些注册表项——够删一阵子的。好在我有 Track'nReverse,点击两下鼠标,就搞定了。
情如梦 - 2005-8-8 21:22:00
| 引用: |
【baohe的贴子】
结束那个木马进程后,木马文件在普通WINDOWS下就可删除。但是,那些注册表项——够删一阵子的。好在我有 Track''nReverse,点击两下鼠标,就搞定了。
........................... |
唉!看樣子似乎很痲煩得?刪除病毒文件,取消掉啓動項,註冊錶鍵值賸下一點沒關繫吧
baohe - 2005-8-8 21:25:00
| 引用: |
【情如梦的贴子】
唉!看樣子似乎很痲煩得?刪除病毒文件,取消掉啓動項,註冊錶鍵值賸下一點沒關繫吧
........................... |
垃圾倒是问题不大。就是那些关键的注册表项——要去掉。否则,会很烦人的。
情如梦 - 2005-8-8 21:29:00
老大妳得註冊錶項怎么沒有前麵朋友說得哪個
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
CrossVirus - 2005-8-8 21:34:00
卡吧报最好用卡吧杀,再扫描个Hijackthis日志上来.
baohe - 2005-8-8 21:34:00
| 引用: |
【情如梦的贴子】老大妳得註冊錶項怎么沒有前麵朋友說得哪個
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
........................... |
不知道什么意思。我看到的启动加载项就是图5中的最后那个[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
baohe - 2005-8-8 21:45:00
| 引用: |
【情如梦的贴子】| 引用: | 【baohe的贴子】| 引用: | 【情如梦的贴子】老大妳得註冊錶項怎么沒有前麵朋友說得哪個
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
........................... |
不知道什么意思。我看到的启动加载项就是图5中的最后那个[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
........................... |
嗯,他得文件名也不一樣?不知道怎么囬事
明天識識在說,謝謝老大啊-.-
........................... |
说的文件名都不一样。他说的是木马文件是%Windir%\intren0t.exe;我看到的是%Windir%\internet.exe。根本就是两码子事!!
baohe - 2005-8-8 21:48:00
| 引用: |
【天天泡泡的贴子】每运行一次,生成的文件名都会发生变化?
........................... |
主文件名发生变化,是可能的。但是,生成的文件数目——不应该相差如此悬殊。2楼说是两个;我观察到9个。
Brzzz-左岸 - 2005-8-8 21:53:00
我运行后就在以上找到
后面那个肯定是
前面那个可能是分析错了
因为之前不久刚运行了个qqpass.**
可能是前面没清除干净。
情如梦 - 2005-8-8 21:55:00
如此基本沒戲啊,暈,每次都不一樣,那手動應該完蛋???
Brzzz-左岸 - 2005-8-8 21:57:00
顺便说一下
我的注册表监控没baohe那么强大
用的是kv的注册表监控分析
情如梦 - 2005-8-8 22:01:00
| 引用: |
【Brzzz-左岸的贴子】顺便说一下
我的注册表监控没baohe那么强大
用的是kv的注册表监控分析
........................... |
註冊錶監控RegRunSuite不是很強大得嘛?是不是過時拉?
baohe - 2005-8-8 22:02:00
| 引用: |
【情如梦的贴子】如此基本沒戲啊,暈,每次都不一樣,那手動應該完蛋???
........................... |
不要这么容易受打击啊!没那么可怕。杀毒,某种意义上就是打心理战。你心理先垮了,还指望杀毒吗?被毒杀了吧!
Brzzz-左岸 - 2005-8-8 22:03:00
此病毒在7月初产生的
各大av已有木马专杀
搜索qqpass专杀
© 2000 - 2026 Rising Corp. Ltd.
