心言 - 2005-9-20 18:09:00
baohe,你好,我在a-v中国样本区提取了win32.rootkit.h样本。
自己操作少,手生,现在问题来了,有空麻烦帮忙解答一下哦.
1.运行样本后,系统没明显异常表现(XPSP2).%system%搜寻sysmon32.exe与msderitx.sys,无果.运行后提示无权限访问,如图1.
2.对应注册表
HKLM\SYSTEM\CONTROLSET001\下没找到msderictx项.
HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogon\下没发现"shell=explorer.exe sysmon32.exe"
却是在其他处发现健值.如图2.
3.IceSword中也没sysmon32进程存在,但是SSM又提示启动后监视过程中都发现有项目改动,如图3.
4.卡巴扫后没毒.
以上这些是在关了杀软,但开着SSM,和Tiny Firewall下进行的,是否以为拦截成功?这些都是怎么回事啊? 注册表内搜寻到的删? 应该做些什么?
心言 - 2005-9-20 18:10:00
图一:
提示:windows无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。
附件:
3917692005920181051.JPG
baohe - 2005-9-20 18:11:00
| 引用: |
【心言的贴子】baohe,你好,我在a-v中国样本区提取了win32.rootkit.h样本。
自己操作少,手生,现在问题来了,有空麻烦帮忙解答一下哦.
1.运行样本后,系统没明显异常表现(XPSP2).%system%搜寻sysmon32.exe与msderitx.sys,无果.运行后提示无权限访问,如图1.
2.对应注册表
HKLM\SYSTEM\CONTROLSET001\下没找到msderictx项.
HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogon\下没发现"shell=explorer.exe sysmon32.exe"
却是在其他处发现健值.如图2.
3.IceSword中也没sysmon32进程存在,但是SSM又提示启动后监视过程中都发现有项目改动,如图3.
4.卡巴扫后没毒.
以上这些是在关了杀软,但开着SSM,和Tiny Firewall下进行的,是否以为拦截成功?这些都是怎么回事啊? 注册表内搜寻到的删? 应该做些什么?
........................... |
图呢?
baohe - 2005-9-20 18:15:00
【回复“心言”的帖子】
是“feishe”发的那个“sysmon32.rar”吗?
心言 - 2005-9-20 18:17:00
【回复“baohe”的帖子】
是的。
地址:http://www.anti-vir.cn/bbs/read.php?tid=339&fpage=1
baohe - 2005-9-20 18:19:00
【回复“心言”的帖子】
图3——SSM已经将注册表中的msdirectx清除了,你在注册表中当然找不到msdirectx了。
要观察病毒感染全过程,遇到SSM移除的项目,先按F2(禁止移除)。
心言 - 2005-9-20 18:24:00
哦,这样啊。汗。。SSM和Tiny Firewall今天刚下,
运行病毒前后是否应关闭墙和杀软,
baohe - 2005-9-20 18:26:00
| 引用: |
【心言的贴子】【回复“baohe”的帖子】
是的。
地址:http://www.anti-vir.cn/bbs/read.php?tid=339&fpage=1
........................... |
附件:
1558472005920182623.jpg
baohe - 2005-9-20 18:27:00
| 引用: |
【心言的贴子】【回复“baohe”的帖子】
是的。
地址:http://www.anti-vir.cn/bbs/read.php?tid=339&fpage=1
........................... |
附件:
1558472005920182744.jpg
心言 - 2005-9-20 18:28:00
操作期间用冰刃(1.12版)也提示过初始服务失败,确定后才能运行。检查服务该打开的都开了。这是怎么回事呢?
baohe - 2005-9-20 18:28:00
| 引用: |
【心言的贴子】【回复“baohe”的帖子】
是的。
地址:http://www.anti-vir.cn/bbs/read.php?tid=339&fpage=1
........................... |
附件:
1558472005920182856.jpg
baohe - 2005-9-20 18:33:00
baohe - 2005-9-20 18:34:00
baohe - 2005-9-20 18:36:00
卡巴斯基的两个进程均被木马插入。晕吧?
附件:
1558472005920183635.jpg
baohe - 2005-9-20 18:38:00
结束被插入的所有进程,用IceSword删!
附件:
1558472005920183849.jpg
心言 - 2005-9-20 18:39:00
谢谢大大,可是我的除了SSM监视到外,其他好象还没发现。
卡巴解压后也是报的,断网关闭卡巴运行样本后(最后全盘扫后也没发现)。
冰刃里禁止了进线程插入和协件功能,后没有发现目标进程。
SSM不知道操作,现在目标被它拦做了,自己也得做点什么吧?
您的第一个帖图是什么啊? 我这个没有。
baohe - 2005-9-20 18:41:00
baohe - 2005-9-20 18:45:00
NB不是吹的!IceSword的确不错!!!
附件:
1558472005920184549.jpg
baohe - 2005-9-20 18:49:00
baohe - 2005-9-20 18:53:00
“兵贵神速”。
在IceSword、SSM已经运行的条件下,如果SSM检测到异常,立即动手采取有效措施,终止病毒进程和被插入的其它进程,用IceSword解决问题——不难。ROOTKIT没什么了不起的。
心言 - 2005-9-20 19:08:00
现在除了注册表残余的(上帖图)要清理的话,
IceSword里边一直没。
问题是,照您最后这个帖图,里的操作(二次选中并二次F2后)没反映。
直接没一个记录选中按F2(或快捷单的阻止),第一个记录提示:错误。(见本帖帖图),其他的没反映(F2)。
是不是我太苯了?
可以选择左下角的“清楚列表”吧?
附件:
3917692005920190837.JPG
baohe - 2005-9-20 20:10:00
| 引用: |
【心言的贴子】操作期间用冰刃(1.12版)也提示过初始服务失败,确定后才能运行。检查服务该打开的都开了。这是怎么回事呢?
........................... |
如果你的IceSword是在运行这个ROOTKIT之后才运行的,那就麻烦了。这个ROOTKIT感染系统后,你运行什么程序,它就插入相应的进程。我那个卡巴斯基被插的图就是个例子(卡巴是染毒后打开的)。
观察病毒感染系统前,应该打开并设置好IceSword、SSM、notepad(用来记录感染过程的主要信息)等工具。
baohe - 2005-9-20 20:16:00
| 引用: |
【心言的贴子】baohe,你好,我在a-v中国样本区提取了win32.rootkit.h样本。
自己操作少,手生,现在问题来了,有空麻烦帮忙解答一下哦.
1.运行样本后,系统没明显异常表现(XPSP2).%system%搜寻sysmon32.exe与msderitx.sys,无果.运行后提示无权限访问,如图1.
2.对应注册表
HKLM\SYSTEM\CONTROLSET001\下没找到msderictx项.
HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogon\下没发现"shell=explorer.exe sysmon32.exe"
却是在其他处发现健值.如图2.
3.IceSword中也没sysmon32进程存在,但是SSM又提示启动后监视过程中都发现有项目改动,如图3.
4.卡巴扫后没毒.
以上这些是在关了杀软,但开着SSM,和Tiny Firewall下进行的,是否以为拦截成功?这些都是怎么回事啊? 注册表内搜寻到的删? 应该做些什么?
........................... |
如果你的IceSword没有被这个ROOTKIT插入,用IceSword可以找到sysmon32.exe与msderitx.sys两个文件。
© 2000 - 2026 Rising Corp. Ltd.