瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】致——“fsecure”,你的灰鸽子解决方法。★★★★

1234   3  /  4  页   跳转

【原创】致——“fsecure”,你的灰鸽子解决方法。★★★★

收藏
fsecure
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2006-08-31
  • 来自:
发表于: 2006-08-31 18:22 | 短消息 资料
字号: 21楼

贴错日志,请版主删了这个回复,我只能清除,以免影响帖容 :)
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-31 18:23 | 只看楼主 短消息 资料
字号: 22楼


Autoruns日志特别提醒:扫描日志前请先点击Option菜单——将Hide Microsoft Entries前面打上勾,再去保存日志。如果不这样做,日志会很长,浪费空间,我们也不好分析
gototop
 
fsecure
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2006-08-31
  • 来自:
发表于: 2006-08-31 18:23 | 短消息 资料
字号: 23楼

请版主删了这个回复,谢谢!!!
gototop
 
fsecure
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2006-08-31
  • 来自:
发表于: 2006-08-31 18:27 | 短消息 资料
字号: 24楼

请版主删了这个回复,谢谢!!!
gototop
 
fsecure
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2006-08-31
  • 来自:
发表于: 2006-08-31 18:28 | 短消息 资料
字号: 25楼

再次谢谢各位的关注和帮助!!

辛苦各位了!
闪电兄,我编辑帖子了,贴了正确的日志。


关于tmp,应该是同一个马,当放开tmp文件时,那个5i.dll regeidt.exe 就不能删除了,当我把 1的整个目录禁用时,就可以删除这两文件了。

貌似现在问题是怎么解决tmp的问题,头大,不知问题在哪?
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-08-31 21:30 | 短消息 资料
字号: 26楼

运行了一下这个东西~
下面是SSM和PG看到的东西~



允许它后,好梦就开始了~
PG监控到它试图安装全局钩子和服务~



但此时SSM并没有看到什么~只提示~



允许~(同时模块报警~)







这个服务被我用SSM禁止

然后,就看见所有的正在运行的程序都试图创建全局钩子~而且是不间断的一直到你允许,否则,运行的速度就像爬的一样~(除了SSM和ICEWORD没动~)

闪电~这个钩子只是用来记录键盘操作的吗?
另,为什么运行正常程序的时候,也总是会创建全局钩子呢,(是因为它对Explorer做了手脚吗?)
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-31 21:35 | 短消息 资料
字号: 27楼

引用:
【影子110的贴子】运行了一下这个东西~
闪电~这个钩子只是用来记录键盘操作的吗?
另,为什么运行正常程序的时候,也总是会创建全局钩子呢,(是因为它对Explorer做了手脚吗?)

………………

这只鸽子“一根儿筋”——它一定要插入你运行的进程中。你开一个进程,它插一个。你不让插?那好!你就什么也别干了!等着吧。
gototop
 
fsecure
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2006-08-31
  • 来自:
发表于: 2006-08-31 21:48 | 短消息 资料
字号: 28楼

怎么你机器运行以后的情况和我不同啊,那个服务项好像并没有安装成功吧?从“服务”进去看其属性,弹出一个“服务器配置内部错误”(好像是这么说的,记不太清了),而且其属性中也是停止的--貌似没有运行成功吧?
其二是当禁止其5i.dll及regeidt.exe后,在当前用户的temp文件夹里不断生成tmp文件并插入每个运行的进程中,忘记了,没把当时在已经创建进程里插入的tmp文件截图下来。

不知大家是怎么测试的,有条件可以不开ssm的情况下安装后重启再打开ssm观察清除,应该就会出现我这种状况。(重启后原当前用户的temp里的5i.dll删除,而系统temp目录下的仍有并被插入)
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-31 21:51 | 短消息 资料
字号: 29楼

引用:
【fsecure的贴子】怎么你机器运行以后的情况和我不同啊,那个服务项好像并没有安装成功吧?从“服务”进去看其属性,弹出一个“服务器配置内部错误”(好像是这么说的,记不太清了),而且其属性中也是停止的--貌似没有运行成功吧?
其二是当禁止其5i.dll及regeidt.exe后,在当前用户的temp文件夹里不断生成tmp文件并插入每个运行的进程中,忘记了,没把当时在已经创建进程里插入的tmp文件截图下来。

不知大家是怎么测试的,有条件可以不开ssm的情况下安装后重启再打开ssm观察清除,应该就会出现我这种状况。(重启后原当前用户的temp里的5i.dll删除,而系统temp目录下的仍有并被插入)
………………

你就别用SSM跟它较劲啦!
在安全模式下收拾它。
gototop
 
fsecure
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2006-08-31
  • 来自:
发表于: 2006-08-31 22:01 | 短消息 资料
字号: 30楼

可是我服务项已经用微软工具移除,winnt\temp\5i.dll,winnt\system32\regeidt.exe 已经清除了,现在就是一打开一个软件就会插入C:\Documents and Settings\administrator\Local Settings\Temp\1\xxxx.tmp大小为172k的一个文件。
实在是晕~
gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT