瑞星卡卡安全论坛

rt

附件已删除...

up

up

【回复“花落花又开”的帖子】
一、样本运行后在C:\WINDOWS\system32\创建javascript.exe（结束进程后可以直接删除）。
二、进程列表中出现javascript.exe、conime.exe、cmd.exe三个进程（均可结束）。
三、注册表改动：

1、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
写入："Cache"="C:\\Documents and Settings\\用户名\\Local Settings\\Temporary Internet Files"
2、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
写入："ProxyByPass"=dword:00000001
3、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
写入："IntranetName"=dword:00000001
4、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
写入："UNCAsIntranet"=dword:00000001
5、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
写入："Cookies"="C:\\Documents and Settings\\用户名\\Cookies"
6、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
写入："History"="C:\\Documents and Settings\\用户名\\Local Settings\\History"
7、创建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Javascript
添加：@="Service"
8、创建：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Javascript
添加：@="Service"

疑惑的是javascript.exe该进程无法结束.必须停止其服务后方可结束.

用SSM结束后,进程又启动;周而复始.似乎在安全模式下也加载.

引用:

【花落花又开的贴子】疑惑的是javascript.exe该进程无法结束.用SSM结束后,进程又启动;周而复始.似乎在安全模式下也加载. ...........................

我用样本感染系统后，用ICESWORD，可以结束木马进程。文件也可以删除（见图）

附件: 1558472005811145811.jpg

也许是您机器上那"TPF2005"规则限制了...

引用:

【花落花又开的贴子】也许是您机器上那"TPF2005"规则限制了... ...........................

没那回事。
第二次用你的那样本感染系统，注册表改动又有所不同（见附图）。
这回，咱让它一把：什么也不动，直接重启系统，看看它能怎么样！
重启后，与你所说的类似——直接关闭它创建的系统服务，关闭不了。因为它的进程还在运行。
换个思路：在IceSword的设置中，勾选“禁止进/线程创建”、“禁止协件功能”。然后，结束木马进程，再关闭其服务、删除其文件——OK！最后，把它添加的注册表项删除，就完了。

附件: 1558472005811152310.jpg

【回复“花落花又开”的帖子】
“茶香蜜糖”又提供了一个类似的样本。查杀方法与你这个样本基本相同。见：http://forum.ikaka.com/topic.asp?board=28&artid=6978750

【回复“baohe”的帖子】
收到.

我思路是先把病毒的服务关闭了.再结束进程.
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下javascript键删了.