瑞星卡卡安全论坛

样本来自“剑盟”。

这个马，瑞星今天最新的病毒库还查不到。多引擎扫描结果————也没几家报。

中招的，那就只好扫日志在别人的帮助下手工杀毒。是这样吧？

好了。下一个问题：用什么扫日志？autoruns？扫不出异常。HijackThis？更不行了！
现在最流行的日志工具是SREng。那就用它扫个吧！

SREng日志中的异常项是这些：

1、服务
[C85B5A86 / C85B5A86]
  <C:\windows\system32\C85B5A86.EXE -service><Microsoft Corporation>

2、正在运行的进程

[PID: 684][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\C85B5A86.DLL]  [Microsoft Corporation, 5.2.3790.1830]
   
[PID: 1376][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\C85B5A86.DLL]  [Microsoft Corporation, 5.2.3790.1830]

由SREng日志可见，这东东够恶毒！插入了两个关键进程winlogon.exe和Explorer.EXE。

下一个问题：怎么动手杀？

根据这样的一份日志，一般思路是：先干掉它的服务项。重启后，删除：
C:\windows\system32\C85B5A86.EXE
C:\windows\system32\C85B5A86.DLL

好了。动手（图1）

重启。


【图1】

附件: 15584720061222161053.jpg

重启后，核实一下效果（图2）。汗！！那个服务项又回来了！！

【图2】

附件: 15584720061222161140.jpg

接着，SSM报告：winlogon.exe要添加注册表项（图3）。 抓狂了吧？

附件: 15584720061222161215.jpg

可能的原因：（1）这东东监控注册表；（2）可能还有漏掉的注册表项。

打开注册表编辑器，搜吧。

搜索包含C85B5A86的注册表项。

有收获！

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services
C85B5A86

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
C85B5A86

看见了吧？本机以及当前用户两个分支下各有一个服务项C85B5A86！前面，根据SREng日志只删除了其中一个（应该是本机的那个）。

这下明白了。用IceSword搞吧！连服务项带病毒文件————咱给它来个“一勺烩”！（图4）

注：先删除服务也行；先删除文件也行。擒贼擒王！我习惯先干它的文件。

重启。

再检查一下效果。

干净了。


【图4】

附件: 15584720061222161307.jpg

【回复“baohe”的帖子】
关健还是注册表
注册表毕竟是系统的心脏

向大叔学习中

学习了～

注册表怎么打开看看呀~~~~~~~~~~~

引用:

【愛如潮水的贴子】注册表怎么打开看看呀~~~~~~~~~~~ ………………

点击：“开始”、“运行”。
键入 regedit。按回车。

好在这东东还给中招用户留了条活路——没禁注册表编辑器。否则，不会用IceSword的，还得现找个注册表编辑工具才行。

补充一点：
这东东的文件属性也比较迷惑人。
只能从“版本号”上看出破绽。

附件: 15584720061222163109.jpg

猫叔我看你的那大猫头像挺好的把版权转让给我吧哈哈

【回复“baohe”的帖子】
补充一点：
这东东的文件属性也比较迷惑人

===========

就是文件版本太高了
呵呵

SREng的日志可是要仔细看的啊...看过朋友的扫描日记,眼花不说差点吐精而亡..
学到了..注册表果然要好好检查..thx

SREng的扫描缺陷，将使其修复功能越来越弱了，期待新版本出现

引用:

【冰雨2006的贴子】猫叔我看你的那大猫头像挺好的把版权转让给我吧哈哈 ………………

呵呵……转让给你，估计系统管理员的审核也不会批准的。
不过，我已经把猫叔的logo作为系统账号的logo了。
猫叔这两天的报告很多阿……辛苦啦
现在的病毒不光灭掉杀软，对扫描类软件也都作了研究阿。
学习了

学习

引用:

【baohe的贴子】 样本来自“剑盟”。 这个马，瑞星今天最新的病毒库还查不到。多引擎扫描结果————也没几家报。 中招的，那就只好扫日志在别人的帮助下手工杀毒。是这样吧？ 好了。下一个问题：用什么扫日志？autoruns？扫不出异常。HijackThis？更不行了！ 现在最流行的日志工具是SREng。那就用它扫个吧！ SREng日志中的异常项是这些： 1、服务 [C85B5A86 / C85B5A86]   <C:\windows\system32\C85B5A86.EXE -service><Microsoft Corporation> 2、正在运行的进程 [PID: 684][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]     [C:\windows\system32\C85B5A86.DLL]  [Microsoft Corporation, 5.2.3790.1830]     [PID: 1376][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]     [C:\windows\system32\C85B5A86.DLL]  [Microsoft Corporation, 5.2.3790.1830] 由SREng日志可见，这东东够恶毒！插入了两个关键进程winlogon.exe和Explorer.EXE。 ………………

怎么看进程被插入了 带??的 告诉一下偶不会看!!  然后怎么看插入文件的路径 教教俺
这毒可怕啊

这下面的就说明是插入那个进程和路径了
[PID: 684][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\C85B5A86.DLL] [Microsoft Corporation, 5.2.3790.1830]

[PID: 1376][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\C85B5A86.DLL] [Microsoft Corporation, 5.2.3790.1830]

引用:

【鸟儿天上飞的贴子】 怎么看进程被插入了 带??的 告诉一下偶不会看!!  然后怎么看插入文件的路径 教教俺 这毒可怕啊 ………………

PID:起始的是一个进程。
它下面的[.................]括起来的是这个进程中所含的线程。
一个进程中有该程序自己开的线程，也有其它应用程序程序（甚至是病毒）开的线程。

引用:

【baohe的贴子】 HijackThis？更不行了！ ………………

记得刚来卡卡的时候是扫HJ日志,知道为什么现在不扫HJ日志了.

That`s because HijackThis.exe is targeted by some malware and the malware will hide from the results of HijackThis.exe.

猫叔这篇帖子通俗易懂,能帮到很多人的

学习了.

老版,这个文件名是随机的吧~

5.2.3790.1830呵呵,版本号是挺高的~~

那从这个文件的创建日期上是否能看出些什么呢?

汗！ 学习了

以后扫出问题之后，直接用icesword一锅端掉得了！

楼上的，全一锅端也是危险的

引用:

【baohe的贴子】 点击：“开始”、“运行”。 键入 regedit。按回车。 好在这东东还给中招用户留了条活路——没禁注册表编辑器。否则，不会用IceSword的，还得现找个注册表编辑工具才行。 ………………

呵呵 学习进程插入拉  版猪 又给人家病毒指路了 以后病毒变种了 变成版猪说的
大家帮我挠他 嘎嘎

学习
收了

baohe,在剑盟经常看到你的答复，很要我学习了。
今天我也来KAKA学习了。学习中。。。

版主！学习了啊！谢谢了啊！！！

呵呵..学习了....

学习了!
kxzhmc500@sina.com