123   1  /  3  页   跳转

假如某一天你霉成了这幅样子

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 16:40 | 只看楼主 短消息 资料
字号: 1楼

假如某一天你霉成了这幅样子



这是人为制造的一个乱乱糊糊的感染局面(也许有一天会成为现实)。目的是检验一下手中的工具——对付“熊猫”引起的复合感染是否有效(有Tiny保护。无保护措施者勿模仿)。

关闭杀软监控。

感染顺序:
1、RavMon.exe(一个木马下载器)
2、sxs.exe(RavMon.exe植入系统后下载来的)
3、setup.exe(最后还中了熊猫)

搞完后,扫个日志。

SREng日志中的Autorun项出现了这种令人晕糊糊的东西(杂种?):

Autorun.inf
[C:\]
[AutoRun]
open=setup.exe
shell\open=打开(&O)
shell\open\Command=setup.exe
shell\explore=资源管理器(&X)
shell\explore\Command="setup.exe -e"
[D:\]
[AutoRun]
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源管理器(&X)
shell\explore\Command="RavMon.exe -e"

麻烦的是:遇到这种autorun.inf,右击分区盘符时,右键菜单中并无auto或“自动播放”,一切如常(图1)。但是,无论你双击打开一个分区,还是右键打开一个分区,都会运行其中一个木马。
而且,这时“熊猫”正在运行,当你你试图运行工具程序时,窗口一闪,工具程序立即关闭。

图1

附件附件:

下载次数:184
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-12 16:40:53
描述:
预览信息:EXIF信息



最后编辑2007-01-25 00:07:19
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 16:41 | 只看楼主 短消息 资料
字号: 2楼

有些抓狂了吧?

别急!还有一根儿救命稻草呢——KillBox 2.0.0.881。

运行KillBox 2.0.0.881。那傻乎乎的熊猫并不理睬(窃喜)。结束病毒进程(图2)。

接下来,就好办了。

将下列内容保存为fix.reg。双击之。

REGEDIT4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001


然后,点击“我的电脑”、“工具”、“文件夹选项”、“查看” 。勾选“显示系统文件夹内容”、“显示所有文件和文件夹”。按“确定”。

图2

附件附件:

下载次数:186
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-12 16:41:54
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 16:43 | 只看楼主 短消息 资料
字号: 3楼

接下来,用KillBox(当然也可用SREng)一一痛宰之(图3)。

最后用杀软收拾一下被熊猫感染过的几个.exe。


图3

附件附件:

下载次数:175
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-12 16:43:31
描述:
预览信息:EXIF信息
gototop
 
yqlikaka
头像
叱咤花甲狮
  • 帖子:4469
  • 注册: 2007-01-05
  • 来自:蓉城
论坛8周年活动礼物童年风车09欢乐圣诞
发表于: 2007-01-12 16:49 | 短消息 资料
字号: 4楼

猫叔又有新发现,在窃喜吧,呵呵
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2007-01-12 16:52 | 短消息 资料
字号: 5楼

如果没有KillBox 怎么办?第三方任务管理器+winrar管不管用?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 17:00 | 只看楼主 短消息 资料
字号: 6楼

引用:
【水树雨下的贴子】如果没有KillBox 怎么办?第三方任务管理器+winrar管不管用?
………………

没有杀掉熊猫进程前————不行。
我试过的工具:TuneUp——不行。WINRAR——可以,但不能杀进程。IceSword————熊猫就是灭它的窗口。SSM————先中了熊猫,再运行SSM,根本没戏。
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2007-01-12 17:01 | 短消息 资料
字号: 7楼

诺顿进程管理器熊猫杀不杀?
gototop
 
拉风的高手
头像
快乐黄口狮
  • 帖子:229
  • 注册: 2006-10-13
  • 来自:
发表于: 2007-01-12 17:02 | 短消息 资料
字号: 8楼

猫叔的东西  顶
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 17:04 | 只看楼主 短消息 资料
字号: 9楼

引用:
【水树雨下的贴子】诺顿进程管理器熊猫杀不杀?
………………

没用过
gototop
 
angst
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-12 17:22 | 短消息 资料
字号: 10楼

请版主看一下我的日志,像烧香,可是又好像不像,这是我的日志
System Repair Engineer 2.2.6.605
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]

==================================
启动文件夹
N/A

==================================
服务
[Human Interface Device Access / HidServ]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

==================================
驱动程序
[Direct Parallel Link Driver / Ptilink]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Secdrv / Secdrv]
  <system32\DRIVERS\secdrv.sys><N/A>

==================================
浏览器加载项
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>

==================================
正在运行的进程
[PID: 364][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 420][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 444][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 488][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 500][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 652][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 732][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 768][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 812][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 860][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1064][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [D:\Program Files\winrar\rarext.dll]  [N/A, N/A]
[PID: 1156][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1592][C:\WINDOWS\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1696][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1904][C:\WINDOWS\system32\wscntfy.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Documents and Settings\shuihou\桌面\viking\VIKING杀虫剂.com]  [箫心论坛, 1, 0, 0, 1]
[PID: 936][\\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1336][D:\Program Files\winrar\WinRAR.exe]  [N/A, N/A]
[PID: 968][C:\DOCUME~1\shuihou\LOCALS~1\Temp\Rar$EX00.594\SREng\SREng.exe]  [Smallfrogs Studio, 2.2.6.605]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT