瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 今天的同事的电脑中毒,使我相信“影子系统”的保护是有限的。

12   1  /  2  页   跳转

今天的同事的电脑中毒,使我相信“影子系统”的保护是有限的。

收藏
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-09 21:35 | 显示全部 短消息 资料
字号: 1楼

今天的同事的电脑中毒,使我相信“影子系统”的保护是有限的。

今天在单位一同事的电脑的系统“任务管理器”中看到“systemt.exe”和“shualai.exe”呵呵!!!!!!!

知道中了啦。

立即扫了日志,因为是系统有“影子系统”保护,所以重新启动。可问题就来了,竟然重启还有。

奇怪了哦,因为我的这些同事们都不会进非影子系统(即正常系统)中的。立即看了时间,竟然是上午10:09中的所有病毒文件。

记得那时她确实是在“影子系统”中上的网,在按照时间找了一下所有今天创建的文件,找到一些不明文件。

下面是日志。
最后编辑2007-06-24 23:51:47
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-09 21:36 | 显示全部 短消息 资料
字号: 2楼

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\windows\system32\ctfmon.exe>  [(Verified)Microsoft Corporation]
    <4u8f6dcmw><C:\DOCUME~1\shx\LOCALS~1\Temp\c0nime.exe>  [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
    <igfxtray><C:\WINDOWS\system32\igfxtray.exe>  [(Verified)Intel Corporation]
    <igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe>  [(Verified)Intel Corporation]
    <igfxpers><C:\WINDOWS\system32\igfxpers.exe>  [(Verified)Intel Corporation]
    <SoundMan><SOUNDMAN.EXE>  [Realtek Semiconductor Corp.]
    <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>  [RealNetworks, Inc.]
    <RunShadowTip><C:\windows\system32\Shadow\ShadowTip.exe>  [PowerShadow]
    <snpstd3><C:\windows\vsnpstd3.exe>  []
    <winform><C:\windows\winform.exe>  [N/A]
    <mppdss><C:\windows\mppdss.exe>  [N/A]
    <upxdnd><C:\windows\TEMP\upxdnd.exe>  [N/A]
    <Kvsc3><C:\windows\Kvsc3.exe>  [N/A]
    <msccrt><C:\windows\msccrt.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <javavmj><C:\windows\javavmj.exe>  [N/A]
    <shualai><C:\windows\shualai.exe /i>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
    <WinlogonNotify: igfxcui><igfxdev.dll>  [(Verified)Intel Corporation]

==================================
启动文件夹
N/A

==================================
服务
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Shadow System Service / ShadowSystemService][Running/Auto Start]
  <C:\WINDOWS\system32\shadow\ShadowService.exe><N/A>
[Windows Ins / WindowsDown][Stopped/Auto Start]
  <C:\windows\system32\servet.exe><N/A>

==================================
驱动程序
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[ialm / ialm][Running/Manual Start]
  <system32\DRIVERS\ialmnt5.sys><Intel Corporation>
[Netgroup Packet Filter / NPF][Running/Manual Start]
  <system32\drivers\npf.sys><CACE Technologies>
[npkcrypt / npkcrypt][Running/Auto Start]
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[USB PC Camera (SNPSTD3) / SNPSTD3][Running/Manual Start]
  <system32\DRIVERS\snpstd3.sys><>
[TCP/IP Protocol Driver / Tcpip][Running/System Start]
  <system32\DRIVERS\tcpip.sys><Microsoft Corporation>
[World Standard Teletext Codec / WSTCODEC][Stopped/Manual Start]
  <system32\DRIVERS\WSTCODEC.SYS><Microsoft Corporation>
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-09 21:36 | 显示全部 短消息 资料
字号: 3楼

==================================
浏览器加载项
[QQ]
  {c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:\Program Files\Tencent\QQ\QQ.EXE, TENCENT>
[Windows Media Player]
  {22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[RDS.DataSpace]
  {BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\System\msadc\msadco.dll, Microsoft Corporation>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[上传到QQ网络硬盘]
  <C:\Program Files\Tencent\QQ\AddToNetDisk.htm, N/A>
[添加到QQ自定义面板]
  <C:\Program Files\Tencent\QQ\AddPanel.htm, N/A>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
  <C:\Program Files\Tencent\QQ\SendMMS.htm, N/A>

==================================
正在运行的进程
[PID: 436][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 500][\??\C:\windows\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 524][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 568][C:\windows\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 580][C:\windows\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 728][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 772][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 836][C:\windows\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 884][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 956][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1136][C:\windows\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
[PID: 1392][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\nwizAsktao.dll]  [N/A, N/A]
    [C:\windows\system32\mppdss.dll]  [N/A, N/A]
    [C:\windows\system32\msccrt.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\windows\system32\Kvsc3.dll]  [N/A, N/A]
    [C:\windows\system32\javavmj.dll]  [N/A, N/A]
    [C:\windows\system32\winform.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\TEMP\upxdnd.dll]  [N/A, N/A]
    [C:\windows\TEMP\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
    [C:\windows\system32\msdmo.dll]  [N/A, N/A]
[PID: 1568][C:\WINDOWS\system32\hkcmd.exe]  [Intel Corporation, 3.0.0.4396]
    [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3.0.0.4396]
    [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3.0.0.4396]
    [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3.0.0.4396]
[PID: 1576][C:\WINDOWS\system32\igfxpers.exe]  [Intel Corporation, 3.0.0.4396]
    [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3.0.0.4396]
[PID: 1584][C:\windows\SOUNDMAN.EXE]  [Realtek Semiconductor Corp., 5.1.00]
[PID: 1592][C:\Program Files\Common Files\Real\Update_OB\realsched.exe]  [RealNetworks, Inc., 0.1.0.3512]
[PID: 1608][C:\WINDOWS\system32\shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]
    [C:\WINDOWS\system32\shadow\pDeskTop.dll]  [N/A, N/A]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
    [C:\windows\TEMP\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\TEMP\upxdnd.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\windows\system32\mppdss.dll]  [N/A, N/A]
    [C:\windows\system32\msccrt.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\windows\system32\Kvsc3.dll]  [N/A, N/A]
    [C:\windows\system32\javavmj.dll]  [N/A, N/A]
    [C:\windows\system32\winform.dll]  [N/A, N/A]
[PID: 1628][C:\windows\vsnpstd3.exe]  [, 1, 0, 2, 2]
[PID: 1816][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 120][C:\WINDOWS\system32\shadow\ShadowService.exe]  [N/A, N/A]
[PID: 236][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 368][C:\program files\internet explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 376][C:\windows\system32\cmd.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1388][C:\windows\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1900][C:\windows\system32\systemt.exe]  [N/A, N/A]
    [C:\windows\system32\WPCAP.DLL]  [CACE Technologies, 3, 1, 0, 27]
    [C:\windows\system32\packet.dll]  [CACE Technologies, 3, 1, 0, 27]
    [C:\windows\system32\WanPacket.dll]  [CACE Technologies, 3, 1, 0, 27]
[PID: 3324][C:\windows\shualai.exe]  [N/A, N/A]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
[PID: 3836][C:\windows\system32\wuauclt.exe]  [Microsoft Corporation, 5.8.0.2469 built by: lab01_n(wmbla)]
[PID: 4080][D:\My Documents\sreng2\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
    [C:\windows\TEMP\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\TEMP\upxdnd.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\windows\system32\mppdss.dll]  [N/A, N/A]
    [C:\windows\system32\msccrt.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\windows\system32\Kvsc3.dll]  [N/A, N/A]
    [C:\windows\system32\javavmj.dll]  [N/A, N/A]
    [C:\windows\system32\winform.dll]  [N/A, N/A]

==================================
文件关联
.TXT  Error. [C:\windows\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  Error. [C:\windows\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
N/A

==================================


[/CODE]
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-09 21:37 | 显示全部 短消息 资料
字号: 4楼

在正常系统中,用冰刃禁止进程创建,用冰刃强行卸除以下进程中插入进程的模块:
正在运行的进程
[PID: 1392][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\nwizAsktao.dll]  [N/A, N/A]
    [C:\windows\system32\mppdss.dll]  [N/A, N/A]
    [C:\windows\system32\msccrt.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\windows\system32\Kvsc3.dll]  [N/A, N/A]
    [C:\windows\system32\javavmj.dll]  [N/A, N/A]
    [C:\windows\system32\winform.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\TEMP\upxdnd.dll]  [N/A, N/A]
    [C:\windows\TEMP\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
[PID: 1608][C:\WINDOWS\system32\shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
    [C:\windows\TEMP\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\TEMP\upxdnd.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\windows\system32\mppdss.dll]  [N/A, N/A]
    [C:\windows\system32\msccrt.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\windows\system32\Kvsc3.dll]  [N/A, N/A]
    [C:\windows\system32\javavmj.dll]  [N/A, N/A]
    [C:\windows\system32\winform.dll]  [N/A, N/A]
[PID: 4080][D:\My Documents\sreng2\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
    [C:\windows\TEMP\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\TEMP\upxdnd.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\windows\system32\mppdss.dll]  [N/A, N/A]
    [C:\windows\system32\msccrt.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\windows\system32\Kvsc3.dll]  [N/A, N/A]
    [C:\windows\system32\javavmj.dll]  [N/A, N/A]
    [C:\windows\system32\winform.dll]  [N/A, N/A]

用冰刃强行卸除以下进程:
[PID: 1900][C:\windows\system32\systemt.exe]  [N/A, N/A]
    [C:\windows\system32\WPCAP.DLL]  [CACE Technologies, 3, 1, 0, 27]
    [C:\windows\system32\packet.dll]  [CACE Technologies, 3, 1, 0, 27]
    [C:\windows\system32\WanPacket.dll]  [CACE Technologies, 3, 1, 0, 27]
[PID: 3324][C:\windows\shualai.exe]  [N/A, N/A]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]

用冰刃删除以下文件:
C:\windows\system32\nwizAsktao.dll
C:\windows\system32\mppdss.dll
C:\windows\system32\msccrt.dll
C:\windows\system32\cmdbcs.dll
C:\windows\system32\Kvsc3.dll
C:\windows\system32\javavmj.dll
C:\windows\system32\winform.dll
C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll
C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll
C:\windows\TEMP\upxdnd.dll
C:\windows\TEMP\Gjzo0.dll
C:\windows\system32\shualai.dll
C:\windows\TEMP\upxdnd.dll
C:\windows\system32\systemt.exe
C:\windows\system32\WPCAP.DLL
C:\windows\system32\packet.dll
C:\windows\system32\WanPacket.dll
C:\windows\shualai.exe
————————————————————————————————————————————
取消冰刃的禁止进程创建,用SRENG工具删除以下注册表项,

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <4u8f6dcmw><C:\DOCUME~1\shx\LOCALS~1\Temp\c0nime.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <snpstd3><C:\windows\vsnpstd3.exe>  []
    <winform><C:\windows\winform.exe>  [N/A]
    <mppdss><C:\windows\mppdss.exe>  [N/A]
    <upxdnd><C:\windows\TEMP\upxdnd.exe>  [N/A]
    <Kvsc3><C:\windows\Kvsc3.exe>  [N/A]
    <msccrt><C:\windows\msccrt.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <javavmj><C:\windows\javavmj.exe>  [N/A]
    <shualai><C:\windows\shualai.exe /i>  [N/A]

==================================
服务
[Windows Ins / WindowsDown][Stopped/Auto Start]
  <C:\windows\system32\servet.exe><N/A>

==================================
驱动程序
[Netgroup Packet Filter / NPF][Running/Manual Start]
  <system32\drivers\npf.sys><CACE Technologies>
——————————————————————————————————
用冰刃删除以下文件:

C:\DOCUME~1\shx\LOCALS~1\Temp\c0nime.exe
C:\windows\vsnpstd3.exe
C:\windows\winform.exe
C:\windows\mppdss.exe
C:\windows\TEMP\upxdnd.exe
C:\windows\Kvsc3.exe
C:\windows\msccrt.exe
C:\windows\cmdbcs.exe
C:\windows\javavmj.exe
C:\windows\shualai.exe
C:\windows\system32\servet.exe
C:\windows\system32\drivers\npf.sys

——————————————————————————————————
重启系统已不再异常,
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-09 21:37 | 显示全部 短消息 资料
字号: 5楼

安装瑞星杀软,升级至最新版本,杀出以下病毒。

杀毒日志:

Worm.Agent.nd                   删除成功    手动扫描    C:\WINDOWS\system32    SMSSS.exe>>systemt.exe>>upack0.32
Worm.Agent.nd                   删除成功    手动扫描    C:\WINDOWS\system32    systemt.rar>>systemt.exe>>upack0.32
Trojan.DL.IeFrame.o           清除成功    手动扫描    C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\K8LEN0SC    zhanghenshui[1].htm
Trojan.DL.IeFrame.o           清除成功    手动扫描    C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\K8LEN0SC    011[1].htm
Worm.Agent.nd                   删除成功    手动扫描    C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\K8LEN0SC    SMSSS[1].exe>>systemt.exe>>upack0.32
Trojan.PSW.Agent.jwb           删除成功    手动扫描    C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\NP2R40AS    CFTMON[1].exe
Trojan.DL.VBS.Agent.q           删除成功    手动扫描    C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\L28UQMF9    1[1].htm
Hack.SuspiciousAni           删除成功    手动扫描    C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\L28UQMF9    d[1].js   
Trojan.PSW.OnlineGames.bbb    删除成功    手动扫描    C:\WINDOWS\system32    nwizAsktao.exe>>upack0.36
Trojan.PSW.LMir.mkx           删除成功    手动扫描    C:\WINDOWS\system32    MSTCS.exe>>fsg2.0
Trojan.PSW.LMir.mkx           删除成功    手动扫描    C:\WINDOWS\system32    alg32.exe>>fsg2.0
Trojan.PSW.LMir.mkx           删除成功    手动扫描    C:\WINDOWS\system32    Winhttps.dll
Trojan.PSW.OnlineGames.bbb    删除成功    手动扫描    C:\WINDOWS\system32    nwizAsktao.dll




在这次处理病毒中,唯一奇怪的两个,

一、是这些病毒文件确实是在“影子系统”的保护中注入系统中的,“影子系统”未能在重启后清除,

在发现病毒时,曾同时在系统各文件夹里都新建文件夹和文件。验证重启后新建的一切文件都被清除,所以可以断定影子系统在正常工作,

但是不知上午中毒时“影子系统”是否被停,估计上午中毒时“影子系统”定是被恶意停了,只不知这些病毒是怎么停了“影子系统”的。

我以前曾试过停掉保护状态下的所有“影子系统”的进程,仍然不能改变“影子”的保护,不知这“耍赖”病毒是怎么做到的。

“影子系统”看来也已不能较好的保护系统了。

二、是虽然感染少量“.exe”文件,可最绝的是所有我以前删除扩展名的备份文件没了,GHOST的备份文件也没了,删除扩展名的GHOST的备份文件也没了。
但是其他的文件未见丢失。可见用删除扩展名的方法保护文件也已哈哈了。真绝、真狠。

以上两个现象使我不得不怀疑,是有人恶意远程进入系统。搞了一翻。反正想不明白啦。


哈哈!!!!!!!!!!!


就这样啦。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-09 21:42 | 显示全部 短消息 资料
字号: 6楼

发现这个:
Trojan.DL.IeFrame.o 清除成功 手动扫描 C:\DOCUME~1\shx\LOCALS~1\Tempor~1\Content.IE5\K8LEN0SC zhanghenshui[1].htm



zhanghenshui[1].htm



就问同事,上了啥网,只说是看  zhanghenshui  的小说。

但是不知是哪个书屋了。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-09 21:43 | 显示全部 短消息 资料
字号: 7楼

引用:
【taylor05771的贴子】用 I/O 就可以绕过影子了......
………………

哦??


真的啊???????

那可真的没啥意思了,这影子系统。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-09 21:47 | 显示全部 短消息 资料
字号: 8楼

忘了,日志里的异常有:


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <4u8f6dcmw><C:\DOCUME~1\shx\LOCALS~1\Temp\c0nime.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <snpstd3><C:\windows\vsnpstd3.exe>  []
    <winform><C:\windows\winform.exe>  [N/A]
    <mppdss><C:\windows\mppdss.exe>  [N/A]
    <upxdnd><C:\windows\TEMP\upxdnd.exe>  [N/A]
    <Kvsc3><C:\windows\Kvsc3.exe>  [N/A]
    <msccrt><C:\windows\msccrt.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <javavmj><C:\windows\javavmj.exe>  [N/A]
    <shualai><C:\windows\shualai.exe /i>  [N/A]

==================================
服务
[Windows Ins / WindowsDown][Stopped/Auto Start]
  <C:\windows\system32\servet.exe><N/A>

==================================
驱动程序
[Netgroup Packet Filter / NPF][Running/Manual Start]
  <system32\drivers\npf.sys><CACE Technologies>

==================================
正在运行的进程
[PID: 1392][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\nwizAsktao.dll]  [N/A, N/A]
    [C:\windows\system32\mppdss.dll]  [N/A, N/A]
    [C:\windows\system32\msccrt.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\windows\system32\Kvsc3.dll]  [N/A, N/A]
    [C:\windows\system32\javavmj.dll]  [N/A, N/A]
    [C:\windows\system32\winform.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\TEMP\upxdnd.dll]  [N/A, N/A]
    [C:\windows\TEMP\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
[PID: 1608][C:\WINDOWS\system32\shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
    [C:\windows\TEMP\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\TEMP\upxdnd.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\windows\system32\mppdss.dll]  [N/A, N/A]
    [C:\windows\system32\msccrt.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\windows\system32\Kvsc3.dll]  [N/A, N/A]
    [C:\windows\system32\javavmj.dll]  [N/A, N/A]
    [C:\windows\system32\winform.dll]  [N/A, N/A]
[PID: 1900][C:\windows\system32\systemt.exe]  [N/A, N/A]
    [C:\windows\system32\WPCAP.DLL]  [CACE Technologies, 3, 1, 0, 27]
    [C:\windows\system32\packet.dll]  [CACE Technologies, 3, 1, 0, 27]
    [C:\windows\system32\WanPacket.dll]  [CACE Technologies, 3, 1, 0, 27]
[PID: 3324][C:\windows\shualai.exe]  [N/A, N/A]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
[PID: 4080][D:\My Documents\sreng2\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\windows\system32\shualai.dll]  [N/A, N/A]
    [C:\windows\TEMP\Gjzo0.dll]  [N/A, N/A]
    [C:\windows\TEMP\upxdnd.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\Gjzo0.dll]  [N/A, N/A]
    [C:\DOCUME~1\shx\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\windows\system32\mppdss.dll]  [N/A, N/A]
    [C:\windows\system32\msccrt.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\windows\system32\Kvsc3.dll]  [N/A, N/A]
    [C:\windows\system32\javavmj.dll]  [N/A, N/A]
    [C:\windows\system32\winform.dll]  [N/A, N/A]

==================================
文件关联
.TXT  Error. [C:\windows\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  Error. [C:\windows\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]



修复了一下文件关联。

哈哈!!!!!!!!
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-10 00:49 | 显示全部 短消息 资料
字号: 9楼

是哦!!

都是没打补丁的。


能补的还是得补啊。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-10 01:24 | 显示全部 短消息 资料
字号: 10楼

来了,来了,别乱叫。

呵呵!!!!!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT