真命小虫 - 2006-1-28 11:18:00
解释:确切的说这个病毒的名字应该不是seeleomf,他的存在并没有引起瑞星2005的“注意”,事出匆忙我也没用卡巴斯基的扫描,故不知其姓名,该病毒所有文件都与seeleomf字眼,故起名seeleomf 病毒。早晨开机,本来准备立刻上网享受昨天女子网球双打夺冠的精彩,发现系统启动瑞星的小绿伞有异样,五分钟以后才弹出来,觉得不正常,于是开始检查系统。
打开icesword ,进程里出现一个红色的ie进程,我才刚启动机器,IE都没有打开,出现这个进程自然引起自己的怀疑。(红色IE见图)
附件:
5554102006128111840.JPG
真命小虫 - 2006-1-28 11:26:00
简单考虑一下病毒是插入到IE进程里面了。于是自己没有接入网络开始继续病毒“寻踪”,进入icesword的“端口”栏目,发现如下图所示这个病毒插入的IE做了点“事情”。
附件:
5554102006128112611.JPG
真命小虫 - 2006-1-28 11:29:00
真命小虫 - 2006-1-28 11:32:00
查询病毒插入的IE进程,查询他的“模块信息”排查之后发现seeleomf.d1l这个可疑文件,至此初步发现病毒行踪。
附件:
5554102006128113244.JPG
真命小虫 - 2006-1-28 11:36:00
启动项里没有该病毒身影,该病毒应该是通过服务加载的。查询注册表发现HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\下面发现seeleomf项
附件:
5554102006128113627.JPG
真命小虫 - 2006-1-28 11:36:00
就简单地用系统自带注册表编辑器查询后发现
HKEY_LOCAL_MACHINE\SYSTEM\controlset004\services\下面发现seeleomf项
同时
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\下面也发现seeleomf(这个项事后证明应该是BAOHE版主所说的 注册表的“多重入口”,删除HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\下面发现seeleomf项及HKEY_LOCAL_MACHINE\SYSTEM\controlset004\services\下面发现seeleomf项之后,该项自然消失
baohe - 2006-1-28 12:05:00
【回复“真命小虫”的帖子】
一个驱动级木马。如果能逮住 seeleomf.exe,请打包,往我的邮箱发一份。
谢谢!
邮箱地址:baohelin@yahoo.com.cn
真命小虫 - 2006-1-28 12:29:00
以上是自己所发现该病毒的全部信息,下面上查杀过程:
第一步:点击icesword 的“打开-设置”,勾选“禁止进线程创建”和“禁止协件功能”
附件:
5554102006128122937.bmp
真命小虫 - 2006-1-28 12:33:00
第二步:点击icesword左边栏目“查看-进程”,结束被病毒插入的IE进程。(见顶楼的图)
第三步:点击icesword左边栏目的“注册表”,删除HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\下面发现seeleomf项及HKEY_LOCAL_MACHINE\SYSTEM\controlset004\services\下面发现seeleomf项。
附件:
5554102006128123357.bmp
真命小虫 - 2006-1-28 12:36:00
第四步:打开icesword左栏“文件”。删除c:\windows\system32\drivers\seeleomf.sys(笔者是操作系统是XP)
附件:
5554102006128123631.bmp
真命小虫 - 2006-1-28 12:43:00
第五步:下面就是删除插入IE进程的病毒,根据之前“模块信息”,依然通过icesowrd“文件”栏目进入c:\windows\system32找seeleomf.d1l,找到之后还发现一个与他同时创建的seeleomf.dll文件于是一起删除,爽!
本以为杀毒成功,没想到一刷新seeleomf.d1l依然还在,他还挺“顽强”,应该还有东西保护,但笔者并不清楚是什么。
笔者准备退出icesowrd,动用其它工具。退出之前还记得去除文件-设置中“禁止进线程创建”和“禁止协件功能”的勾选。没想到退出之后系统自动重启了!
真命小虫 - 2006-1-28 12:49:00
重启之后所有病毒所有附带物又出现于是把“第一步到第五步”重新做了一遍,唯一不同的是这次退出icesword没有重启。
对于seeleomf.d1l动用另一个工具killbox删除。
在“填上要删除的病毒完整路径”栏目里填入"c:\windows\system32\seeleomf.d1l"同时勾选“删除后重启电脑”(见下图红框)
最后用卡巴查了一下硬盘,系统干净了!
附件:
5554102006128124950.JPG
真命小虫 - 2006-1-28 12:59:00
感触:
1.即使打开“资源管理器”的“文件夹选项”中的“显示隐藏文件”依然看不到该病毒的有关文件,故查杀时建议到“icesword”的文件栏目或是进入windows的安全模式。
2.查杀结束记得去除文件-设置中“禁止进线程创建”和“禁止协件功能”的勾选。
3.BT类似软件新手还是慎用,用的话对于下载的文件记得用杀软扫描一下。笔者看了一下病毒创建时间,那个时间是在用BT下东西。
最后祝所有朋友新春快乐!
真命小虫 - 2006-1-28 13:04:00
| 引用: |
【baohe的贴子】【回复“真命小虫”的帖子】
一个驱动级木马。如果能逮住 seeleomf.exe,请打包,往我的邮箱发一份。
谢谢!
邮箱地址:baohelin@yahoo.com.cn
........................... |
抱歉,我没有发现seeleomf.exe文件。
p.s.雅虎的邮箱也真够郁闷的病毒扫描形同虚设~
闪电风暴 - 2006-1-28 13:30:00
学习
© 2000 - 2026 Rising Corp. Ltd.