baohe - 2007-5-17 22:17:00
瑞星只报C:\WINDOWS\system32\Rpcsm.dll为后门。
C:\WINDOWS\system32\Rpcsm.exe,瑞星不报!
C:\Program Files\Common Files\System\svchost.exe瑞星也不报
附件:
1558472007517220713.jpg
baohe - 2007-5-17 22:20:00
中毒后的SRENG日志也比较特殊——————日志中系统核心进程全都不见了!
服务
[Remote Procedure Call System(RPCSm) / RpcSm][Running/Auto Start]
<C:\windows\system32\Rpcsm.exe><Microsoft Corporation>
==================================
正在运行的进程
[PID: 1856][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\Program Files\Internet Download Manager\IDMIECC.dll] [Internet Download Manager Corp., Tonec Inc., 1, 0, 2, 1]
[C:\Program Files\Internet Download Manager\idmmkb.dll] [N/A, ]
[C:\WINDOWS\system32\shadow\pDeskTop.dll] [N/A, ]
[C:\Program Files\WinRAR\rarext.dll] [N/A, ]
[C:\Program Files\TuneUp Utilities 2007\SDShelEx-win32.dll] [TuneUp Software GmbH, 2.0.0.2]
[C:\windows\system32\RavExt.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9]
[C:\Program Files\Rising\Rav\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5]
[C:\Program Files\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll] [Adobe Systems Inc., 1.0.0.2003040700]
[PID: 992][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[PID: 1724][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\Program Files\Tiny Firewall Pro\amonres.dll] [Computer Associates International, Inc., 6.5.1.2]
[C:\Program Files\Tiny Firewall Pro\FncIDs.dll] [Computer Associates International, Inc., 6.0.0.1]
[C:\Program Files\Tiny Firewall Pro\portnums.dll] [Computer Associates International, Inc., 6.0.0.1]
[PID: 1880][C:\Program Files\Tiny Firewall Pro\cfgtool.exe] [Computer Associates International, Inc., 6.0.0.52]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\Program Files\Tiny Firewall Pro\cfgtoolres.dll] [Computer Associates International, Inc., 6.0.0.28]
[C:\Program Files\Common Files\PFShared\Nag.dll] [Tiny Software, Inc., 6.0.1.22]
[C:\Program Files\Common Files\PFShared\cfgwi.dll] [Computer Associates International, Inc., 6.0.0.127]
[C:\Program Files\Common Files\PFShared\Cfgwires.dll] [Computer Associates International, Inc., 6.0.0.27]
[C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\PDM.DLL] [Microsoft Corporation, 7.00.9466]
[C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll] [Microsoft Corporation, 7.00.9466]
[C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MSDBG2.DLL] [Microsoft Corporation, 7.00.9466]
[C:\Program Files\Common Files\Microsoft Shared\INK\PENCHS.DLL] [Microsoft Corporation, 1.0.1038.0]
[C:\Program Files\Common Files\PFShared\IfaceCtrl.dll] [Computer Associates International, Inc., 6.5.3.3]
[C:\windows\system32\msxml4.dll] [Microsoft Corporation, 4.20.9818.0]
[C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL] [Microsoft Corporation, 11.0.5510]
[PID: 4016][C:\Program Files\Common Files\System\svchost.exe] [N/A, ]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[PID: 3508][C:\Program Files\Tiny Firewall Pro\tralogan.exe] [Computer Associates International, Inc., 6.0.0.17]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\msxml4.dll] [Microsoft Corporation, 4.20.9818.0]
[C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL] [Microsoft Corporation, 11.0.5510]
[PID: 3016][C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rar$EX04.344\SREng.EXE] [Smallfrogs Studio, 2.4.12.806]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]
==================================
Winsock 提供者
N/A
==================================
Autorun.inf
N/A
==================================
HOSTS 文件
127.0.0.1 localhost
==================================
API HOOK
入口点错误:EnumServicesStatusA (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:EnumServicesStatusExA (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:ChangeServiceConfigA (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:ChangeServiceConfig2A (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:EnumServicesStatusW (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:EnumServicesStatusExW (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:ChangeServiceConfigW (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:ChangeServiceConfig2W (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:ControlService (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:CreateServiceA (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:CreateServiceW (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:DeleteService (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:EnumDependentServicesA (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:QueryServiceConfigA (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:QueryServiceConfig2A (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:QueryServiceStatus (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:QueryServiceStatusEx (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:EnumDependentServicesW (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:QueryServiceConfigW (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:QueryServiceConfig2W (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:LoadLibraryExW (危险等级: 一般, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:TerminateProcess (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:TerminateThread (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:CreateProcessA (危险等级: 一般, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:CreateProcessW (危险等级: 一般, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:CreateRemoteThread (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:ExitProcess (危险等级: 一般, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:FreeLibrary (危险等级: 一般, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:WriteProcessMemory (危险等级: 一般, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:GetProcAddress (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误:OpenThread (危险等级: 高, 被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
==================================
隐藏进程
[3028] C:\Program Files\Internet Explorer\IEXPLORE.EXE
==================================
scarlet - 2007-5-17 22:37:00
哎呀,刚刚在潜水中,一不小心看到猫叔的新贴子啦,这个高兴呀。虽然没看明白。
天月来了 - 2007-5-17 22:39:00
呵呵!
你别插哦!!!
我等猫猫说呢。
不知怎不说了呢?
baohe - 2007-5-17 22:42:00
【回复“天月来了”的帖子】
还说啥呢?
C:\WINDOWS\system32\Rpcsm.exe,
C:\Program Files\Common Files\System\svchost.exe
这两个好说,手工也能杀掉。
关键是那些被感染的程序。中了这个,只能靠杀软或专杀清除那些被病毒感染的文件。用户总不能把那些文件都扔掉吧?
我是在影子中用Tiny监控运行这个样本的。一个Track'nReverse,搞掂!
zk7451227 - 2007-5-17 22:47:00
发个专杀来!!! 55555 我的情况一样地 我一直都没发现
谢谢老!!!
baohe - 2007-5-17 22:49:00
| 引用: |
【zk7451227的贴子】 发个专杀来!!! 55555 我的情况一样地 我一直都没发现
谢谢老!!!
……………… |
抱歉!
俺没有专杀。
俺是在影子系统中玩儿的。重启,就没事了。
zk7451227 - 2007-5-17 22:57:00
打击!!! 俺地个神``` 我上面就是显示的 c;\Program Files\Internet Explorer\iexplore.exe 就只有这项 汗...
这个是为什么啊 还有我怎么不能发图 郁闷死哒
baohe - 2007-5-17 22:59:00
| 引用: |
【zk7451227的贴子】 打击!!! 俺地个神``` 我上面就是显示的 c;\Program Files\Internet Explorer\iexplore.exe 就只有这项 汗...
这个是为什么啊 还有我怎么不能发图 郁闷死哒
……………… |
c;\Program Files\Internet Explorer\iexplore.exe————IE浏览器。不是病毒。
zk7451227 - 2007-5-17 23:02:00
丢脸... 看你用红线标注出来 就......
偶发个日志 你帮我看看我电脑是不是中毒了 我寝食的机子老中毒 我的虽然还好 但是也....
谢谢了 帮偶看看 我在外面发个帖子
zsfly - 2007-5-17 23:13:00
这个Tiny是什么工具,是不是TINY FIREWALL
baohe - 2007-5-17 23:15:00
| 引用: |
【zsfly的贴子】这个Tiny是什么工具,是不是TINY FIREWALL
……………… |
是的
天月来了 - 2007-5-17 23:28:00
| 引用: |
【baohe的贴子】【回复“天月来了”的帖子】
还说啥呢?
C:\WINDOWS\system32\Rpcsm.exe,
C:\Program Files\Common Files\System\svchost.exe
这两个好说,手工也能杀掉。
关键是那些被感染的程序。中了这个,只能靠杀软或专杀清除那些被病毒感染的文件。用户总不能把那些文件都扔掉吧?
我是在影子中用Tiny监控运行这个样本的。一个Track''nReverse,搞掂!
……………… |
呵呵!!!
猫猫,我以为你还要接着说呢。
下次记得顺带说一句:“结束”或“完了”
loveperday - 2007-5-17 23:42:00
似乎在哪个日志上看到了。。。Rpcsm.exe
记下了。
支持猫大侠。。。
xp123 - 2007-5-18 0:41:00
俺只想知道你用了影子系统上哪弄,俺也想玩
xp123 - 2007-5-18 0:44:00
日志连浏览器加载都没了?
孤独更可靠 - 2007-5-18 8:02:00
猫叔,能向您要个样本么
Lyhan_1988@163.com
看看被感染的还能不能修复
baohe - 2007-5-18 8:44:00
| 引用: |
【孤独更可靠的贴子】猫叔,能向您要个样本么
Lyhan_1988@163.com
看看被感染的还能不能修复
……………… |
样本来自江民:http://forum.jiangmin.com/dispbbs.asp?boardID=2&ID=484222&page=1
baohe - 2007-5-18 8:53:00
| 引用: |
【xp123的贴子】日志连浏览器加载都没了?
……………… |
为了节省本帖的空间占用,日志“浏览器加载项”以前的部分(除了那个病毒服务项外)统统省略了。
© 2000 - 2026 Rising Corp. Ltd.
