瑞星卡卡安全论坛

1、释放文件及添加服务项（图1、图2）。瑞星最新病毒库查不到此马。
2、windup.dll动态插入运行状态的所有应用程序进程（包括Tiny防火墙进程）。
3、中招后，SRENG日志所见异常内容：

服务
[intraclast / intraclast][Running/Auto Start]
  <C:\windows\system32\intraclast.exe><N/A>

正在运行的进程

[PID: 136][C:\Program Files\Tiny Firewall Pro\UmxAgent.exe]  [Computer Associates International, Inc., 6.0.1.76]
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 192][C:\Program Files\Tiny Firewall Pro\UmxTray.exe]  [Computer Associates International, Inc., 6.5.1.59]
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 240][C:\windows\System32\Ati2evxx.exe]  [N/A, N/A]
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 284][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE]  [Microsoft Corporation, 7.00.9466] 
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 512][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 1924][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 852][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 2120][C:\Program Files\Internet Download Manager\IDMan.exe]  [Internet Download Manager Corp., Tonec Inc. , 5, 0, 0, 0] 
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 2560][C:\Program Files\Tiny Firewall Pro\cfgtool.exe]  [Computer Associates International, Inc., 6.0.0.52]   
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 964][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690] 
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 3344][C:\windows\system32\intraclast.exe]  [N/A, N/A]   
    [C:\windows\system32\windup.dll]  [N/A, N/A]
[PID: 520][C:\Program Files\Tiny Firewall Pro\tralogan.exe]  [Computer Associates International, Inc., 6.0.0.17]
    [C:\windows\system32\windup.dll]  [N/A, N/A]
   
4、我的处理流程：

（1）将下列木马程序录入SSM相应规则组，禁止其加载运行：
C:\windows\system32\intraclast.exe
C:\windows\system32\windup.dll

（2）重启系统。显示隐藏文件。删除木马文件及其服务项（图1、图2）。


图1


附件: 1558472007412150654.jpg

图2

附件: 1558472007412150815.jpg

这个厉害吗？

猫猫！！！！

引用:

【天月来了的贴子】这个厉害吗？ 猫猫！！！！ ………………

一般吧。
如果没有“动态插入进程”这个概念，处理起来————你会比较郁闷（鬼附身一样的感觉）。

“动态插入进程”

鬼附身一样的感觉


是哦！！！！！

谢谢猫猫！！！！！！

引用:

【天月来了的贴子】这个厉害吗？ 猫猫！！！！ ………………

都是牛人...

老大,有个问题,如果用IS来删的话,和SSM比起来,哪个方便点.见什么插什么,真的是鬼附身

引用:

【饭后点心的贴子】老大,有个问题,如果用IS来删的话,和SSM比起来,哪个方便点.见什么插什么,真的是鬼附身 ………………

这要看具体情况。
如果病毒模块插系统核心进程且无法强制卸除，我习惯用SSM解决问题。
如果病毒模块只是插非核心进程，用IS，一鼓作气，搞掂完事。

引用:

【baohe的贴子】 这要看具体情况。 如果病毒模块插系统核心进程且无法强制卸除，我习惯用SSM解决问题。 如果病毒模块只是插非核心进程，用IS，一鼓作气，搞掂完事。 ………………

还是SSM处理比较干净利落!