很奇怪但是比较厉害的病毒，顺便求解决方法

显示全部楼层 · 发表于 2011-8-21 22:50:23

states 发表于 2011-8-21 21:34
看病毒是怎么用的是什么方法禁止程序运行，一般常用的有进程名、映像劫持、标题、禁止加驱等，只要修改/ ...

请问高手用什么软件看病毒是怎么用什么方法禁止程序运行呢？？然后怎么修复

显示全部楼层 · 发表于 2011-8-22 09:02:21

大蜘蛛：
yangben.exe infected with Trojan.DownLoader4.46703

显示全部楼层 · 发表于 2011-8-22 12:30:18

好像有一个ark软件 sysreveal还能用

显示全部楼层 · 发表于 2011-8-22 12:41:26

换个电脑再试... ...

2011-8-22 12:34:41 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\yangben\yangben.exe
命令行: "E:\downloads\yangben\yangben.exe"
规则: [应用程序]*

2011-8-22 12:34:46 创建新进程允许
进程: e:\downloads\yangben\yangben.exe
目标: c:\windows\explorer.exe
命令行: 00000034*
规则: [应用程序]*

2011-8-22 12:34:48 修改其他进程的内存允许
进程: e:\downloads\yangben\yangben.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-8-22 12:34:51 修改其他进程的线程允许
进程: e:\downloads\yangben\yangben.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-8-22 12:34:56 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2506] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:02 删除文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\wevtapi.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:04 删除文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\taskmgr.exe
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:05 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2507] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:07 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2508] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:10 创建文件夹允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:13 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2509] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:17 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$\1445836725
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:18 创建文件夹允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$\4098340533
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:20 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2510] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:23 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$\:SummaryInformation
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:25 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2511] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:27 修改文件夹权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:29 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2512] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:33 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\serial.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:35 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\serial.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:36 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\i8042prt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:37 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\i8042prt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:38 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ipsec.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:39 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ipsec.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:40 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\tcpip.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:41 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\tcpip.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:42 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\netbt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:42 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\netbt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:43 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\afd.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:44 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\afd.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:45 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\rdbss.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:46 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\rdbss.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:47 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\mrxsmb.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:48 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\mrxsmb.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:49 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\eckojndo.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:50 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\eckojndo.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 12:35:52 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2513] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:54 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2514] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:55 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2515] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:35:59 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 12:36:00 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 12:36:01 在其他进程中创建线程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 12:36:02 挂起其他进程的线程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 12:36:03 挂起其他进程的线程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 12:36:04 挂起其他进程的线程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 12:36:05 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2516] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:36:06 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2517] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 12:36:07 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 2518] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

显示全部楼层 · 发表于 2011-8-22 12:43:25

显示全部楼层 · 发表于 2011-8-22 12:43:54

liulangzhecgr 发表于 2011-8-22 12:41
换个电脑再试... ...

2011-8-22 12:34:41 创建新进程允许

你能解决不？这个病毒我和BY搞了半天也没解决，很强悍

显示全部楼层 · 发表于 2011-8-22 12:51:28

zuo 发表于 2011-8-22 12:43
你能解决不？这个病毒我和BY搞了半天也没解决，很强悍

允许修改文件权限?!后有更多行为?!

显示全部楼层 · 发表于 2011-8-22 12:55:29

liulangzhecgr 发表于 2011-8-22 12:51
允许修改文件权限?!后有更多行为?!

这是个ADS流病毒，无法运行XT，PT，且马上文件被破坏（连文件名也改不了，PE下也不行）
映像劫持该病毒文件后，重新下载XT，终于可以运行了，但是发现该病毒类似于tdss.tdl3，XT无能为力
但卡巴专杀杀不掉
PE下能用的工具又删不掉ADS流文件
找了半天也找不到被感染的驱动

显示全部楼层 · 发表于 2011-8-22 12:55:52

好好好水的帖子啊

To ESET.
http://samples.nod32.com.hk/inde ... 68561ca4cb2c4375ddf

显示全部楼层 · 发表于 2011-8-22 13:06:03

本帖最后由 liulangzhecgr 于 2011-8-22 13:08 编辑

zuo 发表于 2011-8-22 12:55
这是个ADS流病毒，无法运行XT，PT，且马上文件被破坏（连文件名也改不了，PE下也不行）
映像劫持该病毒文 ...

我全部允许啦! 看看有什么异常现象... ...

----------------------------------------------------

2011-8-22 13:01:12 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\yangben\yangben.exe
命令行: "E:\downloads\yangben\yangben.exe"
规则: [应用程序]*

2011-8-22 13:01:16 创建新进程允许
进程: e:\downloads\yangben\yangben.exe
目标: c:\windows\explorer.exe
命令行: 00000034*
规则: [应用程序]*

2011-8-22 13:01:19 修改其他进程的内存允许
进程: e:\downloads\yangben\yangben.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-8-22 13:01:21 修改其他进程的线程允许
进程: e:\downloads\yangben\yangben.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-8-22 13:01:26 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1047] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:01:30 删除文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\wevtapi.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:01:32 删除文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\taskmgr.exe
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:01:33 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1048] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:01:35 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1049] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:01:38 创建文件夹允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:01:41 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1050] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:01:43 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$\4007598561
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:01:44 创建文件夹允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$\4098340533
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:01:47 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1051] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:01:50 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$\:SummaryInformation
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:01:52 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1052] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:01:54 修改文件夹权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\$NtUninstallKB48397$
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:01:56 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1053] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:02:04 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\serial.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:07 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\serial.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:09 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\i8042prt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:10 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\i8042prt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:12 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ipsec.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:13 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ipsec.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:14 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\tcpip.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:16 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\tcpip.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:19 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\netbt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:20 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\netbt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:21 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\afd.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:22 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\afd.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:23 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\rdbss.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:25 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\rdbss.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:26 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\mrxsmb.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:27 修改文件权限允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\mrxsmb.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-22 13:02:28 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1054] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:02:30 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1055] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:02:31 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1056] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:02:33 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 13:02:35 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 13:02:37 在其他进程中创建线程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 13:02:38 挂起其他进程的线程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 13:02:39 挂起其他进程的线程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 13:02:40 挂起其他进程的线程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-8-22 13:02:41 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1057] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:02:43 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1058] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-22 13:02:44 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1059] ->  [95.64.46.44 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

[病毒样本] 很奇怪但是比较厉害的病毒，顺便求解决方法

本帖子中包含更多资源