【原创】致——“默聞曉語” 你的木马的解决方法★★★

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】致——“默聞曉語” 你的木马的解决方法★★★

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-10-05 18:26 \| 只看楼主短消息资料字号：小中大 1楼【原创】致——“默聞曉語” 你的木马的解决方法★★★ 卡巴斯基没有报告这只木马. Indem木马运行后: 文件操作: 新建 C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\nso20.tmp 删除 C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\nso20.tmp 新建 C:\WINDOWS\system32\soundmix.dll Indem.exe注入:soundmix.dll 创建钩子:CALLWNDPROC,见图1. 将soundmix.dll注入到explorer.exe HijackThis日志中无任何异常. SSM拦截到注册表改动.这个改动可以用Autoruns看到.见图2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run + DTService SoundMix Driver c:\windows\system32\soundmix.dll 所有感染完成后,结束自己运行. 清除方法: 结束Explorer.exe 删除c:\windows\system32\soundmix.dll 修复Autoruns中的: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run + DTService SoundMix Driver c:\windows\system32\soundmix.dll 删除Indem.exe 2006-10-06 19:24:01
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	分享到：

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-10-05 18:27 \| 只看楼主短消息资料字号：小中大 2楼图1：附件: 文件名:4224712006105181850.jpg 下载次数:280 文件类型:image/pjpeg 文件大小: 上传时间:2006-10-5 18:27:03 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-10-05 18:27 \| 只看楼主短消息资料字号：小中大 3楼图2：附件: 文件名:4224712006105181943.jpg 下载次数:276 文件类型:image/pjpeg 文件大小: 上传时间:2006-10-5 18:27:56 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-10-05 18:31 \| 短消息资料字号：小中大 5楼学习了，SREng2里能显出来吗？
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

卡卡技术团队

发表于： 2006-10-05 18:46 | 短消息资料

字号：小中大 6楼

引用:

【水树雨下的贴子】学习了，SREng2里能显出来吗？
………………

可以。

闪电学习那么紧张还能上来帮助别人解决问题，精神可嘉

默聞曉語初生襁褓狮帖子:56 注册: 2006-10-02 来自:	发表于： 2006-10-05 18:51 \| 短消息资料字号：小中大 7楼呵呵。是啊。好心人还是多。不过我还是没找到。苦恼。再此，还得谢谢闪电风暴。
默聞曉語初生襁褓狮帖子:56 注册: 2006-10-02 来自:

特邀体验者

发表于： 2006-10-05 19:13 | 只看楼主 短消息资料

字号：小中大 8楼

引用:

【轩辕小聪的贴子】
可以。

闪电学习那么紧张还能上来帮助别人解决问题，精神可嘉
………………

过奖了

初生襁褓狮

发表于： 2006-10-05 19:17 | 短消息资料

字号：小中大 9楼

引用:

【闪电风暴的贴子】
过奖了
………………

大哥在哪个城市捏?

1 / 2 页

跳转页

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-10-05 18:26 \| 只看楼主短消息资料字号：小中大 1楼【原创】致——“默聞曉語” 你的木马的解决方法★★★ 卡巴斯基没有报告这只木马. Indem木马运行后: 文件操作: 新建 C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\nso20.tmp 删除 C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\nso20.tmp 新建 C:\WINDOWS\system32\soundmix.dll Indem.exe注入:soundmix.dll 创建钩子:CALLWNDPROC,见图1. 将soundmix.dll注入到explorer.exe HijackThis日志中无任何异常. SSM拦截到注册表改动.这个改动可以用Autoruns看到.见图2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run + DTService SoundMix Driver c:\windows\system32\soundmix.dll 所有感染完成后,结束自己运行. 清除方法: 结束Explorer.exe 删除c:\windows\system32\soundmix.dll 修复Autoruns中的: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run + DTService SoundMix Driver c:\windows\system32\soundmix.dll 删除Indem.exe 2006-10-06 19:24:01
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	分享到：