今天的同事的电脑中毒，使我相信“影子系统”的保护是有限的。 bbs.ikaka.com

天月来了 - 2007-5-9 21:35:00

今天在单位一同事的电脑的系统“任务管理器”中看到“systemt.exe”和“shualai.exe”呵呵！！！！！！！

知道中了啦。

立即扫了日志，因为是系统有“影子系统”保护，所以重新启动。可问题就来了，竟然重启还有。

奇怪了哦，因为我的这些同事们都不会进非影子系统（即正常系统）中的。立即看了时间，竟然是上午10：09中的所有病毒文件。

记得那时她确实是在“影子系统”中上的网，在按照时间找了一下所有今天创建的文件，找到一些不明文件。

下面是日志。

天月来了 - 2007-5-9 21:36:00

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\windows\system32\ctfmon.exe> [(Verified)Microsoft Corporation]
<4u8f6dcmw><C:\DOCUME~1\shx\LOCALS~1\Temp\c0nime.exe> [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]
<igfxtray><C:\WINDOWS\system32\igfxtray.exe> [(Verified)Intel Corporation]
<igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe> [(Verified)Intel Corporation]
<igfxpers><C:\WINDOWS\system32\igfxpers.exe> [(Verified)Intel Corporation]
<SoundMan><SOUNDMAN.EXE> [Realtek Semiconductor Corp.]
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [RealNetworks, Inc.]
<RunShadowTip><C:\windows\system32\Shadow\ShadowTip.exe> [PowerShadow]
<snpstd3><C:\windows\vsnpstd3.exe> []
<winform><C:\windows\winform.exe> [N/A]
<mppdss><C:\windows\mppdss.exe> [N/A]
<upxdnd><C:\windows\TEMP\upxdnd.exe> [N/A]
<Kvsc3><C:\windows\Kvsc3.exe> [N/A]
<msccrt><C:\windows\msccrt.exe> [N/A]
<cmdbcs><C:\windows\cmdbcs.exe> [N/A]
<javavmj><C:\windows\javavmj.exe> [N/A]
<shualai><C:\windows\shualai.exe /i> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
<WinlogonNotify: igfxcui><igfxdev.dll> [(Verified)Intel Corporation]

==================================
启动文件夹
N/A

==================================
服务
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Shadow System Service / ShadowSystemService][Running/Auto Start]
<C:\WINDOWS\system32\shadow\ShadowService.exe><N/A>
[Windows Ins / WindowsDown][Stopped/Auto Start]
<C:\windows\system32\servet.exe><N/A>

==================================
驱动程序
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[ialm / ialm][Running/Manual Start]
<system32\DRIVERS\ialmnt5.sys><Intel Corporation>
[Netgroup Packet Filter / NPF][Running/Manual Start]
<system32\drivers\npf.sys><CACE Technologies>
[npkcrypt / npkcrypt][Running/Auto Start]
<\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
[USB PC Camera (SNPSTD3) / SNPSTD3][Running/Manual Start]
<system32\DRIVERS\snpstd3.sys><>
[TCP/IP Protocol Driver / Tcpip][Running/System Start]
<system32\DRIVERS\tcpip.sys><Microsoft Corporation>
[World Standard Teletext Codec / WSTCODEC][Stopped/Manual Start]
<system32\DRIVERS\WSTCODEC.SYS><Microsoft Corporation>

天月来了 - 2007-5-9 21:36:00

==================================
浏览器加载项
[QQ]
{c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:\Program Files\Tencent\QQ\QQ.EXE, TENCENT>
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[RDS.DataSpace]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\System\msadc\msadco.dll, Microsoft Corporation>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[上传到QQ网络硬盘]
<C:\Program Files\Tencent\QQ\AddToNetDisk.htm, N/A>
[添加到QQ自定义面板]
<C:\Program Files\Tencent\QQ\AddPanel.htm, N/A>
[添加到QQ表情]
<C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
<C:\Program Files\Tencent\QQ\SendMMS.htm, N/A>

==================================
正在运行的进程
[PID: 436][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 500][\??\C:\windows\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 524][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 568][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 580][C:\windows\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 728][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 772][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 836][C:\windows\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 884][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 956][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1136][C:\windows\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
[PID: 1392][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\nwizAsktao.dll] [N/A, N/A]
[C:\windows\system32\mppdss.dll] [N/A, N/A]
[C:\windows\system32\msccrt.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\windows\system32\Kvsc3.dll] [N/A, N/A]
[C:\windows\system32\javavmj.dll] [N/A, N/A]
[C:\windows\system32\winform.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\windows\TEMP\upxdnd.dll] [N/A, N/A]
[C:\windows\TEMP\Gjzo0.dll] [N/A, N/A]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[C:\windows\system32\msdmo.dll] [N/A, N/A]
[PID: 1568][C:\WINDOWS\system32\hkcmd.exe] [Intel Corporation, 3.0.0.4396]
[C:\WINDOWS\system32\hccutils.DLL] [Intel Corporation, 3.0.0.4396]
[C:\WINDOWS\system32\igfxsrvc.dll] [Intel Corporation, 3.0.0.4396]
[C:\WINDOWS\system32\igfxres.dll] [Intel Corporation, 3.0.0.4396]
[PID: 1576][C:\WINDOWS\system32\igfxpers.exe] [Intel Corporation, 3.0.0.4396]
[C:\WINDOWS\system32\igfxsrvc.dll] [Intel Corporation, 3.0.0.4396]
[PID: 1584][C:\windows\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5.1.00]
[PID: 1592][C:\Program Files\Common Files\Real\Update_OB\realsched.exe] [RealNetworks, Inc., 0.1.0.3512]
[PID: 1608][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[C:\WINDOWS\system32\shadow\pDeskTop.dll] [N/A, N/A]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[C:\windows\TEMP\Gjzo0.dll] [N/A, N/A]
[C:\windows\TEMP\upxdnd.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\windows\system32\mppdss.dll] [N/A, N/A]
[C:\windows\system32\msccrt.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\windows\system32\Kvsc3.dll] [N/A, N/A]
[C:\windows\system32\javavmj.dll] [N/A, N/A]
[C:\windows\system32\winform.dll] [N/A, N/A]
[PID: 1628][C:\windows\vsnpstd3.exe] [, 1, 0, 2, 2]
[PID: 1816][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 120][C:\WINDOWS\system32\shadow\ShadowService.exe] [N/A, N/A]
[PID: 236][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 368][C:\program files\internet explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 376][C:\windows\system32\cmd.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1388][C:\windows\System32\alg.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1900][C:\windows\system32\systemt.exe] [N/A, N/A]
[C:\windows\system32\WPCAP.DLL] [CACE Technologies, 3, 1, 0, 27]
[C:\windows\system32\packet.dll] [CACE Technologies, 3, 1, 0, 27]
[C:\windows\system32\WanPacket.dll] [CACE Technologies, 3, 1, 0, 27]
[PID: 3324][C:\windows\shualai.exe] [N/A, N/A]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[PID: 3836][C:\windows\system32\wuauclt.exe] [Microsoft Corporation, 5.8.0.2469 built by: lab01_n(wmbla)]
[PID: 4080][D:\My Documents\sreng2\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[C:\windows\TEMP\Gjzo0.dll] [N/A, N/A]
[C:\windows\TEMP\upxdnd.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\windows\system32\mppdss.dll] [N/A, N/A]
[C:\windows\system32\msccrt.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\windows\system32\Kvsc3.dll] [N/A, N/A]
[C:\windows\system32\javavmj.dll] [N/A, N/A]
[C:\windows\system32\winform.dll] [N/A, N/A]

==================================
文件关联
.TXT Error. [C:\windows\notepad.exe %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM Error. ["hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI Error. [C:\windows\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1 localhost

==================================
API HOOK
N/A

==================================

[/CODE]

天月来了 - 2007-5-9 21:37:00

在正常系统中，用冰刃禁止进程创建，用冰刃强行卸除以下进程中插入进程的模块：
正在运行的进程
[PID: 1392][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\nwizAsktao.dll] [N/A, N/A]
[C:\windows\system32\mppdss.dll] [N/A, N/A]
[C:\windows\system32\msccrt.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\windows\system32\Kvsc3.dll] [N/A, N/A]
[C:\windows\system32\javavmj.dll] [N/A, N/A]
[C:\windows\system32\winform.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\windows\TEMP\upxdnd.dll] [N/A, N/A]
[C:\windows\TEMP\Gjzo0.dll] [N/A, N/A]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[PID: 1608][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[C:\windows\TEMP\Gjzo0.dll] [N/A, N/A]
[C:\windows\TEMP\upxdnd.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\windows\system32\mppdss.dll] [N/A, N/A]
[C:\windows\system32\msccrt.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\windows\system32\Kvsc3.dll] [N/A, N/A]
[C:\windows\system32\javavmj.dll] [N/A, N/A]
[C:\windows\system32\winform.dll] [N/A, N/A]
[PID: 4080][D:\My Documents\sreng2\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[C:\windows\TEMP\Gjzo0.dll] [N/A, N/A]
[C:\windows\TEMP\upxdnd.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\windows\system32\mppdss.dll] [N/A, N/A]
[C:\windows\system32\msccrt.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\windows\system32\Kvsc3.dll] [N/A, N/A]
[C:\windows\system32\javavmj.dll] [N/A, N/A]
[C:\windows\system32\winform.dll] [N/A, N/A]

用冰刃强行卸除以下进程：
[PID: 1900][C:\windows\system32\systemt.exe] [N/A, N/A]
[C:\windows\system32\WPCAP.DLL] [CACE Technologies, 3, 1, 0, 27]
[C:\windows\system32\packet.dll] [CACE Technologies, 3, 1, 0, 27]
[C:\windows\system32\WanPacket.dll] [CACE Technologies, 3, 1, 0, 27]
[PID: 3324][C:\windows\shualai.exe] [N/A, N/A]
[C:\windows\system32\shualai.dll] [N/A, N/A]

用冰刃删除以下文件：
C:\windows\system32\nwizAsktao.dll
C:\windows\system32\mppdss.dll
C:\windows\system32\msccrt.dll
C:\windows\system32\cmdbcs.dll
C:\windows\system32\Kvsc3.dll
C:\windows\system32\javavmj.dll
C:\windows\system32\winform.dll
C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll
C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll
C:\windows\TEMP\upxdnd.dll
C:\windows\TEMP\Gjzo0.dll
C:\windows\system32\shualai.dll
C:\windows\TEMP\upxdnd.dll
C:\windows\system32\systemt.exe
C:\windows\system32\WPCAP.DLL
C:\windows\system32\packet.dll
C:\windows\system32\WanPacket.dll
C:\windows\shualai.exe
————————————————————————————————————————————
取消冰刃的禁止进程创建，用SRENG工具删除以下注册表项，

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<4u8f6dcmw><C:\DOCUME~1\shx\LOCALS~1\Temp\c0nime.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<snpstd3><C:\windows\vsnpstd3.exe> []
<winform><C:\windows\winform.exe> [N/A]
<mppdss><C:\windows\mppdss.exe> [N/A]
<upxdnd><C:\windows\TEMP\upxdnd.exe> [N/A]
<Kvsc3><C:\windows\Kvsc3.exe> [N/A]
<msccrt><C:\windows\msccrt.exe> [N/A]
<cmdbcs><C:\windows\cmdbcs.exe> [N/A]
<javavmj><C:\windows\javavmj.exe> [N/A]
<shualai><C:\windows\shualai.exe /i> [N/A]

==================================
服务
[Windows Ins / WindowsDown][Stopped/Auto Start]
<C:\windows\system32\servet.exe><N/A>

==================================
驱动程序
[Netgroup Packet Filter / NPF][Running/Manual Start]
<system32\drivers\npf.sys><CACE Technologies>
——————————————————————————————————
用冰刃删除以下文件：

C:\DOCUME~1\shx\LOCALS~1\Temp\c0nime.exe
C:\windows\vsnpstd3.exe
C:\windows\winform.exe
C:\windows\mppdss.exe
C:\windows\TEMP\upxdnd.exe
C:\windows\Kvsc3.exe
C:\windows\msccrt.exe
C:\windows\cmdbcs.exe
C:\windows\javavmj.exe
C:\windows\shualai.exe
C:\windows\system32\servet.exe
C:\windows\system32\drivers\npf.sys

——————————————————————————————————
重启系统已不再异常，

天月来了 - 2007-5-9 21:37:00

安装瑞星杀软，升级至最新版本，杀出以下病毒。

杀毒日志：

Worm.Agent.nd    删除成功手动扫描 C:\WINDOWS\system32 SMSSS.exe>>systemt.exe>>upack0.32
Worm.Agent.nd    删除成功手动扫描 C:\WINDOWS\system32 systemt.rar>>systemt.exe>>upack0.32
Trojan.DL.IeFrame.o    清除成功手动扫描 C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\K8LEN0SC zhanghenshui[1].htm
Trojan.DL.IeFrame.o    清除成功手动扫描 C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\K8LEN0SC 011[1].htm
Worm.Agent.nd    删除成功手动扫描 C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\K8LEN0SC SMSSS[1].exe>>systemt.exe>>upack0.32
Trojan.PSW.Agent.jwb    删除成功手动扫描 C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\NP2R40AS CFTMON[1].exe
Trojan.DL.VBS.Agent.q    删除成功手动扫描 C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\L28UQMF9 1[1].htm
Hack.SuspiciousAni    删除成功手动扫描 C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\L28UQMF9 d[1].js
Trojan.PSW.OnlineGames.bbb 删除成功手动扫描 C:\WINDOWS\system32 nwizAsktao.exe>>upack0.36
Trojan.PSW.LMir.mkx    删除成功手动扫描 C:\WINDOWS\system32 MSTCS.exe>>fsg2.0
Trojan.PSW.LMir.mkx    删除成功手动扫描 C:\WINDOWS\system32 alg32.exe>>fsg2.0
Trojan.PSW.LMir.mkx    删除成功手动扫描 C:\WINDOWS\system32 Winhttps.dll
Trojan.PSW.OnlineGames.bbb 删除成功手动扫描 C:\WINDOWS\system32 nwizAsktao.dll

在这次处理病毒中，唯一奇怪的两个，

一、是这些病毒文件确实是在“影子系统”的保护中注入系统中的，“影子系统”未能在重启后清除，

在发现病毒时，曾同时在系统各文件夹里都新建文件夹和文件。验证重启后新建的一切文件都被清除，所以可以断定影子系统在正常工作，

但是不知上午中毒时“影子系统”是否被停，估计上午中毒时“影子系统”定是被恶意停了，只不知这些病毒是怎么停了“影子系统”的。

我以前曾试过停掉保护状态下的所有“影子系统”的进程，仍然不能改变“影子”的保护，不知这“耍赖”病毒是怎么做到的。

“影子系统”看来也已不能较好的保护系统了。

二、是虽然感染少量“.exe”文件，可最绝的是所有我以前删除扩展名的备份文件没了，GHOST的备份文件也没了，删除扩展名的GHOST的备份文件也没了。
但是其他的文件未见丢失。可见用删除扩展名的方法保护文件也已哈哈了。真绝、真狠。

以上两个现象使我不得不怀疑，是有人恶意远程进入系统。搞了一翻。反正想不明白啦。

哈哈！！！！！！！！！！！

就这样啦。

taylor05771 - 2007-5-9 21:41:00

用 I/O 就可以绕过影子了......

天月来了 - 2007-5-9 21:42:00

发现这个：
Trojan.DL.IeFrame.o 清除成功手动扫描 C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\K8LEN0SC zhanghenshui[1].htm

zhanghenshui[1].htm

就问同事，上了啥网，只说是看 zhanghenshui 的小说。

但是不知是哪个书屋了。

天月来了 - 2007-5-9 21:43:00

引用:

【taylor05771的贴子】用 I/O 就可以绕过影子了......
………………

哦？？

真的啊？？？？？？？

那可真的没啥意思了，这影子系统。

天月来了 - 2007-5-9 21:47:00

忘了，日志里的异常有：

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<4u8f6dcmw><C:\DOCUME~1\shx\LOCALS~1\Temp\c0nime.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<snpstd3><C:\windows\vsnpstd3.exe> []
<winform><C:\windows\winform.exe> [N/A]
<mppdss><C:\windows\mppdss.exe> [N/A]
<upxdnd><C:\windows\TEMP\upxdnd.exe> [N/A]
<Kvsc3><C:\windows\Kvsc3.exe> [N/A]
<msccrt><C:\windows\msccrt.exe> [N/A]
<cmdbcs><C:\windows\cmdbcs.exe> [N/A]
<javavmj><C:\windows\javavmj.exe> [N/A]
<shualai><C:\windows\shualai.exe /i> [N/A]

==================================
服务
[Windows Ins / WindowsDown][Stopped/Auto Start]
<C:\windows\system32\servet.exe><N/A>

==================================
驱动程序
[Netgroup Packet Filter / NPF][Running/Manual Start]
<system32\drivers\npf.sys><CACE Technologies>

==================================
正在运行的进程
[PID: 1392][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\nwizAsktao.dll] [N/A, N/A]
[C:\windows\system32\mppdss.dll] [N/A, N/A]
[C:\windows\system32\msccrt.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\windows\system32\Kvsc3.dll] [N/A, N/A]
[C:\windows\system32\javavmj.dll] [N/A, N/A]
[C:\windows\system32\winform.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\windows\TEMP\upxdnd.dll] [N/A, N/A]
[C:\windows\TEMP\Gjzo0.dll] [N/A, N/A]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[PID: 1608][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[C:\windows\TEMP\Gjzo0.dll] [N/A, N/A]
[C:\windows\TEMP\upxdnd.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\windows\system32\mppdss.dll] [N/A, N/A]
[C:\windows\system32\msccrt.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\windows\system32\Kvsc3.dll] [N/A, N/A]
[C:\windows\system32\javavmj.dll] [N/A, N/A]
[C:\windows\system32\winform.dll] [N/A, N/A]
[PID: 1900][C:\windows\system32\systemt.exe] [N/A, N/A]
[C:\windows\system32\WPCAP.DLL] [CACE Technologies, 3, 1, 0, 27]
[C:\windows\system32\packet.dll] [CACE Technologies, 3, 1, 0, 27]
[C:\windows\system32\WanPacket.dll] [CACE Technologies, 3, 1, 0, 27]
[PID: 3324][C:\windows\shualai.exe] [N/A, N/A]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[PID: 4080][D:\My Documents\sreng2\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\windows\system32\shualai.dll] [N/A, N/A]
[C:\windows\TEMP\Gjzo0.dll] [N/A, N/A]
[C:\windows\TEMP\upxdnd.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\windows\system32\mppdss.dll] [N/A, N/A]
[C:\windows\system32\msccrt.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[C:\windows\system32\Kvsc3.dll] [N/A, N/A]
[C:\windows\system32\javavmj.dll] [N/A, N/A]
[C:\windows\system32\winform.dll] [N/A, N/A]

==================================
文件关联
.TXT Error. [C:\windows\notepad.exe %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM Error. ["hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI Error. [C:\windows\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

修复了一下文件关联。

哈哈！！！！！！！！

菜菜瓜瓜 - 2007-5-9 21:50:00

不会吧我正在用着呢还以为可以放心了。。。。这应该是少数的病毒吧。。

Enix - 2007-5-9 22:33:00

还是用虚拟机+影子吧。

鸟儿天上飞 - 2007-5-9 23:59:00

不打补丁...给你在好的杀软防火墙..和保护软件..也是没有用滴..

不想给自己找麻烦滴..乖乖的打补丁吧...XP SP2 也就才90多个不多

天月来了 - 2007-5-10 0:49:00

是哦！！

都是没打补丁的。

能补的还是得补啊。

桃子CiCi - 2007-5-10 1:03:00

去看看我的帖子
死天月

天月来了 - 2007-5-10 1:24:00

来了，来了，别乱叫。

呵呵！！！！！

sanjingshou - 2007-5-10 1:45:00

在影子里上网中毒当然会感染本机了啊
影子的本地连接和机器的本地连接没有断开，不中才怪呢
原理和VM的一样，虚拟机测试病毒时，第一件事就是断开2者之间的连接。。。

天月来了 - 2007-5-10 1:53:00

引用:

【sanjingshou的贴子】在影子里上网中毒当然会感染本机了啊
影子的本地连接和机器的本地连接没有断开，不中才怪呢
原理和VM的一样，虚拟机测试病毒时，第一件事就是断开2者之间的连接。。。

………………

你又没细看

我没说吗？

是上午开着影子系统中了的，中午那同事重启过，下午发现时，又重启过，但是不管断网，还是不断网，都存在。说明已写入系统了。影子系统未能保护住系统。

应该是上午中时影子系统被恶意停了。

不知道这病毒怎停的。

sanjingshou - 2007-5-10 1:55:00

引用:

【天月来了的贴子】
你又没细看

我没说吗？

是上午开着影子系统中了的，中午那同事重启过，下午发现时，又重启过，但是不管断网，还是不断网，都存在。说明已写入系统了。影子系统未能保护住系统。

应该是上午中时影子系统被恶意停了。

不知道这病毒怎停的。

………………

NO，我觉得是用影子上网时就中标，然后感染了机器
在下午上时，病毒在机器上发作，给人造成是病毒突破影子了。。。

天月来了 - 2007-5-10 1:59:00

影子系统在重启后时会清除系统中的所有改变的，如果影子系统正常，那么下午再开机，上午的任何感染都不应该存在的。

只有一个可能，影子没能在上午隔离那病毒的感染。

sanjingshou - 2007-5-10 2:14:00

引用:

【天月来了的贴子】影子系统在重启后时会清除系统中的所有改变的，如果影子系统正常，那么下午再开机，上午的任何感染都不应该存在的。

只有一个可能，影子没能在上午隔离那病毒的感染。
………………

恩，影子系统在重启后时会清除系统中的所有改变的
在没重起时，病毒就已经感染了机器了。。。
你觉得呢？

桃子CiCi - 2007-5-10 2:18:00

晕
没用过影子。。。。

taylor05771 - 2007-5-10 8:38:00

上次看过一个牛人8行 I/O 端口写代码就让影子玩完了

影子终究是虚拟的磁盘而非像 VM/VPC 直接虚拟一个硬件

影子脱离不了磁盘驱动.............

天月来了 - 2007-5-10 9:29:00

是啊！！

确实脱离不了磁盘驱动。本来它就是靠捣鼓磁盘底层控制来做点事。

呵呵！！

只能象其他软件那样，随便用用而已了。

饭后点心 - 2007-5-10 9:31:00

脱离不了磁盘驱动就好是有危险存在.还是直接虚拟一个的好.不过用影子习惯了再换别的虚拟总觉得不习惯.关键还是补丁啊,不打早晚会出事情

孤独更可靠 - 2007-5-10 9:47:00

支持21楼看法

要破影子唯一只能从磁盘底层下手

破坏分区表等

至于仅仅是靠些那些破坏力似乎不是很足的小病毒来看

根本连不上边

是完全影子?

sanpiy - 2007-5-10 10:03:00

影子系统被恶意停掉?厉害!

天月来了 - 2007-5-10 10:10:00

【回复“孤独更可靠”的帖子】

最绝的就是，我也觉得这几个删删就没了的小毒，应该不会这样狠吧？

呵呵！！

我知道你问完全影子是啥意思。

是用的单一影子模式，可是所有系统，所有软件都安装在C盘系统盘。

不论怎样都不可能在重启后，什么东西调用其他盘的文件。

就算有这样的病毒会注入注册表，可重启后也应该清除了的。

我也在没处理病毒之前，就研究了所有其他盘的文件，和可能性。

最终相信是影子系统被恶意停了，因为所有病毒都是在上午10：09分开始进入的。那是影子系统就被停了。

至少在中午午休关机之前被停了。

因为从早上7：06分开机上网后创建的所有文件都在系统中。

没有清除得了，这应该是影子系统没工作得结果。

林达asd - 2007-5-10 10:20:00

都素高手呀`

孤独更可靠 - 2007-5-10 10:28:00

【回复“天月来了”的帖子】

没理由

可能是我太固执,但是我还是不愿意相信..

可能,你漏点了?....

龙飞扬 - 2007-5-10 11:24:00

有点不相信

瑞星卡卡安全论坛