baohe - 2008-7-10 18:38:00
这个帖子的标题咋这么别扭!想不出合适的了。就它吧。
之所以不敢称为“练习答案”,是因为每个参与者中毒和杀毒过程的具体情形变化多端。因此,没有可以称为“标准答案”的DD。
言归正传。
之所以提供这个毒作为实习生练手的样本,在于它有可能反应出一般入门者常见的毛病--------中毒后缺乏冷静思考。恨不得三下五除二,嘁哩喀喳,将病毒灭绝。
这个毒有个特点:连网状态下,病毒样本完全运行后,如果你不首先断开网络,就急急忙忙地动手结束病毒进程(且不能一次干净利索地结束病毒以及被病毒插入的应用程序进程),病毒会报复你-----进一步增加进入系统的病毒文件。胡乱结束进程操作步骤越多,进入系统的病毒文件越多。
附件是RAR包,内有14幅图片,是中此毒后手工杀毒操作的全部过程。其中有正确的操作步骤,也有成心模拟“未断网就徒劳地结束病毒进程4次操作带来的尴尬局面”。图中有简要文字介绍。相信大家能够理解。
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)附件:
fig.rar
天月来了 - 2008-7-10 18:55:00
带回去
今晚看。:default7:
超级游戏迷 - 2008-7-10 19:58:00
那我就不客气了,呵呵收走……:default6:
闪电风暴 - 2008-7-10 20:32:00
好久没来了,看看。。
没有眼泪 - 2008-7-10 23:48:00
学习
有几个问题想问下。。
BAOHE版主附件里的第二张图片中,为什么在windows任务管理器中可以看到msnhostin.exe这个进程。。而我这里却看不到,只能在iceword中看到呢。。
还有,按照BAOHE版主的做法,组策略里设置如下
重启后,如下文件已删除。
但是那个turVNHwX.dll始终无法删除,提示文件正在被另一个程序使用。。。。
这个。怎么回事呀。。
:kaka4: 我这么笨,啥时候才能解决掉这个DD
没有眼泪 - 2008-7-11 0:40:00
BAOHE版主,现在应该是杀干净了吧。
按照您的方法,试了几遍,终于以我的水平没发现其它问题,不知道是否确实把那个DD咔嚓掉了。。。
附件中的第二份日志为现在的日志
昨天晚上没有断网也没有用到ICEWORD的禁止进线程创建功能。。刚才用到您的方法删掉那几个后来出现的文件,有一个没删掉,第一份日志为这个时候的日志。。。。。
请再帮看下
:kaka4: 还是那句话,像我这么笨啥时候能学好手工杀毒。。。。
明天再试下先断网禁止进线程创建,然后再杀毒的方法。。。
我的VM里没有任何杀软,那个系统加固用户设置还没有完全理解。。
附件:
SREngLOG.log 附件:
SREngLOG456789.log
Frank3160449 - 2008-7-11 7:48:00
拿下!!
baohe - 2008-7-11 8:12:00
turVNHwX.dll始终无法删除,应该是它插入了winlogon.exe进程。此dll一旦插入了winlogon,强制卸除都不行(系统崩溃重启)。可以用IceSword强制删除这个病毒文件。然后重启系统,删除其添加的notify键值。
至于你的windows任务管理器为何看不到msnhostin.exe进程,从你那张IceSword进程图看,msnhostin.exe已经变为隐藏进程了。
baohe - 2008-7-11 8:18:00
第一份日志:
病毒启动项还在:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<MSN Host><msnhostin.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{68950839-2675-49E2-B6A5-442E0B0D1BA4}><C:\WINDOWS\system32\tuvVNHwX.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvVNHwX]
<WinlogonNotify: tuvVNHwX><tuvVNHwX.dll> []
浏览器加载项
[]
{68950839-2675-49E2-B6A5-442E0B0D1BA4} <C:\WINDOWS\system32\tuvVNHwX.dll, N/A>
winlogon.exe进程插入了两个病毒模块:
[PID: 636 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\tuvVNHwX.dll] [N/A, ]
[C:\WINDOWS\system32\ljJYRKdd.dll] [N/A, ]
explorer.exe进程插入了一个病毒模块:
[PID: 1728 / yezi][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\tuvVNHwX.dll] [N/A, ]
————————————————————————
第二份日志:
基本干净。
请删除下面的浏览器加载项:
[]
{68950839-2675-49E2-B6A5-442E0B0D1BA4} <, >
baohe - 2008-7-11 8:52:00
[引用]那个系统加固用户设置还没有完全理解
[回复]
那图是针对实机运行病毒者讲的。
如果你的瑞星“系统加固用户设置”中勾选了“登陆附加模块”项,“触发规则时” 勾选了“拒绝”,瑞星会保护HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify下的所有键值项。
你玩儿那个样本时是关闭瑞星监控的,病毒在此键下写入了自己的加载项。
手杀前面的所有操作结束、重启系统后,瑞星所有监控处于开启状态。此时,你不按那图提示临时改一下设置,便无法删除病毒在notify下写入的内容。
小九的寒 - 2008-7-11 9:44:00
这个毒感染了host文件,所以一连上网就从那些网站下载木马程序,如果不连网释放病毒,什么目的也达不到.
networkedition - 2008-7-11 12:05:00
希望猫叔多组织类似活动,样本最好从易到难。:default7:
baohe - 2008-7-11 12:09:00
原帖由 networkedition 于 2008-7-11 12:05:00 发表
希望猫叔多组织类似活动,样本最好从易到难。:default7:
这个样本算比较容易的。但有可能变成比较难对付的。
若最后搞到不可收拾的局面出现,说明操作者的手杀操作基本常识缺乏。
小九的寒 - 2008-7-11 16:05:00
大版主,纯粹是对计算机病毒感兴趣呀
听说你的职业不是it
baohe - 2008-7-11 16:30:00
原帖由 小九的寒 于 2008-7-11 16:05:00 发表
大版主,纯粹是对计算机病毒感兴趣呀
听说你的职业不是it
俺是菜鸟。
不知IT为何物。
hotboy - 2008-7-11 23:45:00
原帖由
baohe 于 2008-7-11 16:30:00 发表
原帖由 小九的寒 于 2008-7-11 16:05:00 发表
大版主,纯粹是对计算机病毒感兴趣呀
听说你的职业不是it
俺是菜鸟。
不知IT为何物。
菜鸟多少钱一斤?
tjcum210210 - 2008-7-12 14:18:00
IT好像叫字母
networkedition - 2008-7-13 23:05:00
猫叔强制删除winlogon.exe插入的dll文件会导致系统蓝屏吧:default6:
天云一剑 - 2008-8-9 13:35:00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
PendingFileRenameOperations
被修改了,是否是关机回写,然后下次启动重命名呢
SYSTEM32以及子文件夹用权限禁止新建文件了。。文件倒是没啥好删的,一会儿就删完了
主要是这个注册表项目,还是搞不懂
© 2000 - 2026 Rising Corp. Ltd.
