瑞星卡卡安全论坛

收到网友发来的conn.exe样本。这是个木马，但卡巴斯基今天的病毒库并不报毒。有意思的是，卡巴斯基报conn.exe释放的2l79fw.dll为rootkit木马（图1）。
尝试用SSM杀灭此马。
1、在SSM的“规则”中禁止conn.exe和2l79fw.dll加载（图2）。并将SSM设置为“自动加载”。
2、重启系统。观察SSM的进程列表，发现其中有IE进程（此时，我并没开IE浏览器）。先用SSM暂时禁止IEXPLORE.EXE运行，并结束IEXPLORE.EXE进程（图3）。
3、然后，尝试删除conn.exe和2l79fw.dll。成功（图4）。
4、最后，清理一下注册表：
展开：HKLM\System\CurrentControlSet\Services           
删除：NSLHA（指向C:\WINDOWS\system32\conn.exe）   

图1


附件: 1558472006519211022.jpg

图2

附件: 1558472006519211046.jpg

图3

附件: 1558472006519211108.jpg

图4

附件: 1558472006519211132.jpg

注意：最后，别忘了解除SSM对IEXPLORE.EXE的禁止。否则，你的IE就不能运行了。

沙发，谢谢楼主

下载一个EXE文件,下载完成后,却找不到它.当时也开着SSM,如果这个EXE文件自已运行,那SSM是应该有提示的吧.

引用:

【现在进行时的贴子】当时也开着SSM,如果这个EXE文件自已运行,那SSM是应该有提示的吧. ...........................

如果那个EXE文件自已运行，SSM应该有提示。

学习了~

我想看看这个木马，请baohe版主把样本发到我的邮箱adzhujun@gmail.com 非常感谢

引用:

【破轮子的贴子】我想看看这个木马，请baohe版主把样本发到我的邮箱adzhujun@gmail.com 非常感谢 ...........................

发了

Status:  INFECTED/MALWARE 
MD5  13c42b111c527c9a44a428577f8bd3b5 
Packers detected:  -
Scanner results 
AntiVir  Found Heuristic/Trojan.PwdStealer (probable variant) 
ArcaVir  Found nothing
Avast  Found nothing
AVG Antivirus  Found nothing
BitDefender  Found nothing
ClamAV  Found nothing
Dr.Web  Found BackDoor.Pigeon.83 
F-Prot Antivirus  Found nothing
Fortinet  Found nothing
Kaspersky Anti-Virus  Found nothing
NOD32  Found Win32/Rootkit.Vanti.E 
Norman Virus Control  Found nothing
UNA  Found nothing
VirusBuster  Found nothing
VBA32  Found Backdoor.PcClient.24 (probable variant)

目前报的不多

killvir@gmail.com

baohe，玛玛也要一份

引用:

【艾玛的贴子】killvir@gmail.com baohe，玛玛也要一份 ...........................

请与“破轮子”联系。我没保留这个样本。

晕啊,SSM最新版(570)在程序控制列表里新加了"驱动控制".导致每次开机时都要把驱动的开启重新询问一遍,好烦人啊~~
现在也没有找到破解SSM使用期限的问题~~

引用:

【闪电风暴的贴子】 晕啊,SSM最新版(570)在程序控制列表里新加了"驱动控制".导致每次开机时都要把驱动的开启重新询问一遍,好烦人啊~~ ...........................

我也用570。没有这个问题。

呵呵，怎么每一个用SSM的人，多多少少都有点问题，而且问题还都不一样呢？
我用SSM+瑞星的进程管理器（下载卡卡安全助手，安装后就有）杀毒感觉不错，特別是对新手。

引用:

【独孤豪侠的贴子】呵呵，怎么每一个用SSM的人，多多少少都有点问题，而且问题还都不一样呢？ 我用SSM+瑞星的进程管理器（下载卡卡安全助手，安装后就有）杀毒感觉不错，特別是对新手。 ...........................

用SSM自身的进程监控器杀进程——没什么问题。
要点是：在SSM的“选项”、“程序”中勾选下面两个复选框（图），并点击“应用选项”。

附件: 1558472006521100626.jpg

卡卡进程管理器里有查找工能，如果知道木马的文件名。可以在其中查找，就可以看到病毒在哪个进程里了~~、
SSM好像只能靠自已找吧。

引用:

【独孤豪侠的贴子】卡卡进程管理器里有查找工能，如果知道木马的文件名。可以在其中查找，就可以看到病毒在哪个进程里了~~、 SSM好像只能靠自已找吧。 ...........................

SSM进程监控器中的所有进程——都有路径显示。一目了然。

方法是多种多样的，看各人的选择了。
条条大道通罗马呀~~~~~
呵呵~~~~~

学习中---

引用:

【闪电风暴的贴子】 晕啊,SSM最新版(570)在程序控制列表里新加了"驱动控制".导致每次开机时都要把驱动的开启重新询问一遍,好烦人啊~~ 现在也没有找到破解SSM使用期限的问题~~ ...........................

以前有个坛子里的人说把SSM安装前的日期改到2007或者更往后的时间..在安装SSM只后再改回来 就可以无限制的使用SSM了...我还没试过

再次来学习BAOHE斑竹的经验思路。

学习了.

收获！再演习

ssm是什么东东呀？！哪里下载？

继续学习中

ssm的确好用。