瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 也谈tel.xls.exe的查杀——与“mopery”商榷

12   1  /  2  页   跳转

也谈tel.xls.exe的查杀——与“mopery”商榷

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:30 | 显示全部 短消息 资料
字号: 1楼

也谈tel.xls.exe的查杀——与“mopery”商榷

在这里和剑盟社区都见到有网友反应:按版主帖子介绍的方法(http://forum.ikaka.com/topic.asp?board=28&artid=8220466)不能彻底搞掂tel.xls.exe。
今天有点儿时间,将样本(http://bbs.2dai.com/thread-481162-1-1.html)拿来,先关闭所有安全软件,然后,在我的本本中运行了一下。
然后,按照http://forum.ikaka.com/topic.asp?board=28&artid=8220466和http://bbs.2dai.com/thread-481903-1-1.html介绍的方法动手杀毒(所用工具略有不同)。

1、删除病毒的加载项。

附件附件:

下载次数:293
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:30:53
描述:
预览信息:EXIF信息



最后编辑2006-12-02 10:26:35
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:31 | 显示全部 短消息 资料
字号: 2楼

2、确认系统程序mmc.exe已经被病毒替换。

附件附件:

下载次数:287
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:31:34
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:32 | 显示全部 短消息 资料
字号: 3楼

3、尝试用IceSword结束病毒进程mmc.exe。进程无法结束。先结束c:\windows\svchost.exe后,mmc.exe进程才能结束。

附件附件:

下载次数:314
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:32:01
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:32 | 显示全部 短消息 资料
字号: 4楼

4、用IceSword禁止进程创建,再结束病毒进程。

附件附件:

下载次数:298
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:32:24
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:32 | 显示全部 短消息 资料
字号: 5楼

5、一一删除病毒文件(我的本本只有C、D两个分区)。

附件附件:

下载次数:298
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:32:50
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:33 | 显示全部 短消息 资料
字号: 6楼

6、删完病毒文件后,mmc.exe自动复原了。感觉很爽!!

附件附件:

下载次数:288
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:33:17
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:33 | 显示全部 短消息 资料
字号: 7楼

7、鉴于有人反应:这个mmc.exe感染wuauclt.exe,我删完病毒文件后重启系统,连接网络,运行了一下windows update。汗!!那个病毒文件mmc.exe又回来了。

附件附件:

下载次数:270
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:33:49
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:34 | 显示全部 短消息 资料
字号: 8楼

8、再用autoruns看看启动项:病毒程序mmc.exe的服务项也回来了!!

附件附件:

下载次数:310
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:34:20
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:34 | 显示全部 短消息 资料
字号: 9楼

9、在WINDOWS的“安全中心”里关闭windows自动更新,重启系统,再看看进程列表:wuauclt.exe进程还在!!

附件附件:

下载次数:297
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:34:56
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-30 17:35 | 显示全部 短消息 资料
字号: 10楼

10、看来问题确实严重。看看刚才运行过的应用程序吧。IceSword——被感染了。

附件附件:

下载次数:288
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-30 17:35:29
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT