12345678   5  /  8  页   跳转

与网页木马“群殴”记

收藏
subomaoming
头像
健康舞勺狮
  • 帖子:312
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-04-07 00:01 | 短消息 资料
字号: 41楼

引用:
【天月来了的贴子】baohe说的对!!!!!!!!!

这里难说没有图谋不好的人。

是得留一手,我以后就少建议点杀毒手段,只简单点。

呵呵!!!!!!!!!

能处理就行了哦。
………………

这样我就很遗憾了,因为,少了很多学习的机会!两个方面,有利有弊,真难办啊……
gototop
 
subomaoming
头像
健康舞勺狮
  • 帖子:312
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-04-07 00:03 | 短消息 资料
字号: 42楼

引用:
【☆風雲☆→羽少的贴子】安装瑞星也没什么木马拉,把漏洞修修就好....可是我的端口被人攻击怎么办那?
"自本次启动以来共受到1次攻击。最后一次攻击的IP地址为:222.174.20.10,事件名称为:防范2003蠕虫王攻击(1434端口),攻击时间为:22:4:40."
………………

封端口!!瑞星防火墙好像就有这个功能。要不用dos命令也可以,具体我忘了
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-04-07 00:57 | 短消息 资料
字号: 43楼

引用:
【scriptman的贴子】

关于NPF这个,我以前也是告诉他们删除掉,但好象现在有些学校的上网软件都需要这个,其实就象FORMAT命令一样,有人用它装系统有人用它破坏系统.
………………



引用:
【carabe的贴子】NPF.SYS
WANPACKET.DLL
PACKET.DLL
不是病毒体吧,虽有人把NPF.SYS作为arp的病毒体,但是这几个文件也是许多软件必须的,删除就无法运行
………………



前两个星期因为学校校园网的原因疯狂恶补了一下ARP知识,我试者回答一下:

上述提到的两个文件是WinPCAP驱动库(其实还有其他几个文件。其中大部分在SYSTEM32文件夹,除了NPF.SYS是在DRIVERS文件夹),因此如果你使用了Ethereal之类利用WinPCAP驱动库的软件(大部分为网络扫描嗅探软件,或者是部分校园网拨号软件、校园网拨号软件破解端,如锐捷破解端metro supplicant)就不可以删除。

反之,如果用户不需要使用WinPCAP驱动库,可以通过建立假的WinPCAP库到系统目录里阻止部分使用WinPCAP驱动库发包和截包的ARP欺骗病毒/木马的运行。
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-04-07 01:07 | 短消息 资料
字号: 44楼

引用:
【baohe的贴子】
2、你说的WANPACKET.DLL和PACKET.DLL在“当前用户临时文件夹”中。从未听说过这个文件夹中的文件是系统必须的文件。“当前用户临时文件夹”本来就应该定时清空。
至于drivers文件夹中的NPF.SYS,我玩儿过的多个木马中都涉及这个驱动程序的释放。如果你认为它是系统文件,那你就养着吧。我是不会保留这类东东的。
3、删除那三个文件后,我的系统无任何异常。

………………


因为WinPCAP驱动库一般只用做网络扫描嗅探,因此猫叔删除后系统没有任何异常是在情理当中......如果你的电脑没有安装WinPCAP驱动(或者网络扫描嗅探软件)但是又出现了这几个文件,则你的电脑可能已经被病毒或者木马感染,这时候要仔细查毒杀毒。

但是猫叔,看了你的回复后,我只觉得暴寒啊......晕啊.........现在的病毒还真的会自行建立符合自身的运行环境了.......



然后猫叔这张杀灭帖也提醒我,“群体战术”的病毒群里面有ARP欺骗类病毒,看来探寻校园网内的机器为什么总是网速慢终于有点眉目了,而且这也提醒了......一机中毒,全校(校园网)遭殃......
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-04-07 08:22 | 短消息 资料
字号: 45楼

看来得备份更多的系统文件,才可以更好的应对。

但是太多电脑的局域网里不知到底怎好?

上虚拟的吧!!!
gototop
 
脑盲啊闹忙
头像
初生襁褓狮
  • 帖子:25
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-07 09:19 | 短消息 资料
字号: 46楼

大叔,我自从中了那些木马群以后试了很多种的杀毒软件,后来网上买了江民2007的用了下好像觉得还不错,但是我开网页什么都开始变的很慢呀,昨天我又看见瑞星有了新的版本,病毒库也说了可以杀掉这些,我就重新安装了瑞星,不晓得是否能真的就没有危险了?
哦对了,我很奇怪,为什么我电脑重装系统的时候瑞星还是杀到毒了,是我的硬盘有问题还是我的安装盘有问题?我还需要改善些什么?
gototop
 
tlw2010
头像
拙长孩提狮
  • 帖子:66
  • 注册: 2006-07-17
  • 来自:
发表于: 2007-04-07 16:00 | 短消息 资料
字号: 47楼

1、运行IceSword,禁止进程创建。

2、结束下列被病毒插入的进程以及所有非系统核心进程:
[PID: 1876][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
````
不明白这在IceSword里面哪里能找到这个[PID: 1876][C:\windows\Explorer.EXE]
````
小弟愚钝```不要见怪!!真心请教!!!
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-04-07 16:15 | 短消息 资料
字号: 48楼

引用:
【tlw2010的贴子】1、运行IceSword,禁止进程创建。

2、结束下列被病毒插入的进程以及所有非系统核心进程:
[PID: 1876][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
````
不明白这在IceSword里面哪里能找到这个[PID: 1876][C:\windows\Explorer.EXE]
````
小弟愚钝```不要见怪!!真心请教!!!

………………



呵呵,有学习的精神!加油!

如图,打开ICESWORD,在“进程”里面找C:\windows\Explorer.EXE。
如果要找模块就要右键单击--〉“模块信息”

相关教程(UFO不幸外人 编写):

手工检测病毒(3月25日更新):http://forum.ikaka.com/topic.asp?board=28&artid=8267493
冰刃(IceSword)的使用方法(基础篇):http://blog.sina.com.cn/u/56b232db010007xt
冰刃(IceSword)的使用方法(基础篇):http://forum.ikaka.com/topic.asp?board=28&artid=8283980
冰刃(IceSword)的使用方法(高级篇):http://blog.sina.com.cn/u/56b232db01000841

附件附件:

下载次数:106
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-7 16:15:41
描述:
gototop
 
tlw2010
头像
拙长孩提狮
  • 帖子:66
  • 注册: 2006-07-17
  • 来自:
发表于: 2007-04-07 16:21 | 短消息 资料
字号: 49楼

【回复“horseluke11”的帖子】
多谢horseluke11兄的指教!!!!
gototop
 
zhongzhi
头像
快乐黄口狮
  • 帖子:167
  • 注册: 2006-08-06
  • 来自:
发表于: 2007-04-07 16:47 | 短消息 资料
字号: 50楼

能顶楼主的贴子,是荣幸,支持!
gototop
 
<<上一主题|下一主题>>
12345678   5  /  8  页   跳转
页面顶部
Powered by Discuz!NT