收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 一个无法结束的进程
12下一页
返回列表 发新帖
查看: 4943|回复: 16
收起左侧

[病毒样本] 一个无法结束的进程

[复制链接]
hzx19 该用户已被删除
发表于 2008-8-25 09:41:29 | 显示全部楼层 |阅读模式
我在辅助工具区发过一次,在这里承蒙杀毒高手相助,结束掉一个进程

icelight进程任何软件无法结束 icelight下载http://www.downbank.cn/soft/4/109/2008/2008080411783.htm

怎么办到的呢??

大家研究一下吧

原帖http://bbs.kafan.cn/viewthread.php?tid=310841&extra=&highlight=%2Bhzx19&page=1



倒下的:
RKU、Gmer、IS、Wsycheck还能显示它的进程,APT、狙剑都找不到进程。

回复 10楼 angel13th 的帖子没仔细测,不好意思,不过SS即使用内存清零也结束不了它。

引用:
原帖由 gxrsprite 于 2008-8-23 16:19 发表
不是用wsyscheck结束了么

狙剑409打不开 出错

wsyscheck怎么能终止icelight进程?

肯定值得大家研究

对了,删掉他的驱动也不行

大家成功的最好把整个方案写一下。用wsyscheck举个例子啊


-
回复

举报

wjzdw
发表于 2008-8-25 10:37:31 | 显示全部楼层
哈   楼主挺搞笑的~~~

多学学编程吧
回复

举报

z2665
发表于 2008-8-25 12:46:58 | 显示全部楼层

回复 1楼 hzx19 的帖子

人家加载了驱动的.........最好先用RKU把所有钩子去掉.再结束.....或者直接用组策略.
回复

举报

yjwfdc
头像被屏蔽
发表于 2008-8-25 20:49:46 | 显示全部楼层
发现一个很奇怪的事情。

这个软件介面和冰刃很象

功能也很强,居然可以关闭微点的两个进程,但最后一个进程就无法关闭了。关eq服务也只是举手之劳。

wsyscheck.exe不可以直接关闭微点的三个进程,一定要创建安全环境后,阻止新生进程才可以关微点的进程,可以三个都关了。

用wsyscheck.exe关icelight最轻松了,只需右键,关闭进程,就可以了。

怀疑icelight 是 wsyscheck的旧版本改出来的,但又各有长处,真是奇了。

为什么说怀疑icelight 是 wsyscheck的旧版本改出来的呢?请看图。



[ 本帖最后由 yjwfdc 于 2008-8-25 20:51 编辑 ]
回复

举报

qigang
发表于 2008-8-25 21:28:32 | 显示全部楼层
有专帖了。
回复

举报

ranguangning
头像被屏蔽
发表于 2008-8-25 21:32:03 | 显示全部楼层
山寨
回复

举报

yjwfdc
头像被屏蔽
发表于 2008-8-26 00:17:48 | 显示全部楼层
楼主可以看看,很容易就结束了,由于有病毒行为,所以没有用实机试,用vm试的。为什么说有病毒行为呢?因为它修改了一个系统驱动win32k.sys,行为会在最下面发表.








2008-08-25 19:56:45    创建文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\WINDOWS\system32\drivers\ILDriver.sys
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:56:49    删除文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\WINDOWS\system32\drivers\ILDriver.sys
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:56:51    创建文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\WINDOWS\system32\drivers\ILDriver.sys
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:56:53    安装服务或者驱动      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\drivers\ILDriver.sys
触发规则:所有程序规则->105全局规则->*

2008-08-25 19:56:54    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\drivers\ILDriver.sys
触发规则:所有程序规则->105全局规则->*

2008-08-25 19:56:56    删除文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\WINDOWS\system32\drivers\ILDriver.sys
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:56:57    创建文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~DF64F0.tmp
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:56:59    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97ab86c1-48ee-11dd-8d19-806d6172696f}\
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:01    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97ab86c1-48ee-11dd-8d19-806d6172696f}\
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:02    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97ab86c0-48ee-11dd-8d19-806d6172696f}\
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:03    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97ab86c0-48ee-11dd-8d19-806d6172696f}\
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:04    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97ab86c2-48ee-11dd-8d19-806d6172696f}\
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:05    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97ab86c2-48ee-11dd-8d19-806d6172696f}\
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:06    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97ab86c3-48ee-11dd-8d19-827d252245fb}\
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:07    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97ab86c3-48ee-11dd-8d19-827d252245fb}\
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:10    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#陷井
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:14    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#陷井
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:15    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#陷井
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:16    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#陷井
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:17    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#陷井
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:21    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#陷井
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:24    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#d
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:25    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#d
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:26    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#d
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:28    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#d
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:29    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#d
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:30    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#d
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:31    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#f
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:32    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#f
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:32    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#f
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:33    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#f
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:34    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#f
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:34    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.105#f
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:35    进程间消息操作      操作:允许
进程路径:D:\病毒\IceLight.exe
目标进程:C:\WINDOWS\Explorer.EXE
消息类型:1049?
触发规则:应用程序规则->----------低--------->*\病毒\*

2008-08-25 19:57:35    进程间消息操作      操作:允许
进程路径:D:\病毒\IceLight.exe
目标进程:C:\WINDOWS\Explorer.EXE
消息类型:1027?
触发规则:应用程序规则->----------低--------->*\病毒\*

2008-08-25 19:57:36    进程间消息操作      操作:允许
进程路径:D:\病毒\IceLight.exe
目标进程:C:\WINDOWS\Explorer.EXE
消息类型:1027胛
触发规则:应用程序规则->----------低--------->*\病毒\*

2008-08-25 19:57:37    进程间消息操作      操作:允许
进程路径:D:\病毒\IceLight.exe
目标进程:C:\WINDOWS\Explorer.EXE
消息类型:1027?
触发规则:应用程序规则->----------低--------->*\病毒\*

2008-08-25 19:57:40    修改注册表内容      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage
注册表名称:ProductNonBootFiles
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:41    修改注册表内容      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage
注册表名称:ProductNonBootFiles
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:42    修改注册表内容      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage
注册表名称:ProductNonBootFiles
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:43    创建文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~DF9AA4.tmp
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:57:44    修改注册表内容      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage
注册表名称:WORDFiles
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:46    删除注册表      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PerfOS\Performance
注册表名称:Error Count
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:57:47    访问物理内存      操作:允许
进程路径:D:\病毒\IceLight.exe
物理内存:\Device\PhysicalMemory
触发规则:应用程序规则->----------低--------->*\病毒\*

2008-08-25 19:57:48    访问物理内存      操作:允许
进程路径:D:\病毒\IceLight.exe
物理内存:\Device\PhysicalMemory
触发规则:应用程序规则->----------低--------->*\病毒\*

2008-08-25 19:57:49    访问物理内存      操作:允许
进程路径:D:\病毒\IceLight.exe
物理内存:\Device\PhysicalMemory
触发规则:应用程序规则->----------低--------->*\病毒\*

2008-08-25 19:57:50    修改文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\WINDOWS\system32\win32k.sys
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:57:52    修改文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\WINDOWS\system32\win32k.sys
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:57:52    修改文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\WINDOWS\system32\win32k.sys
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:59:42    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Visual Basic\6.0
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:59:43    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Visual Basic\6.0
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:59:44    创建注册表值      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Visual Basic\6.0
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:59:45    删除注册表      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:59:45    删除注册表      操作:允许
进程路径:D:\病毒\IceLight.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
注册表名称:DWFileTreeRoot
触发规则:应用程序规则->----低------>*\病毒\*

2008-08-25 19:59:46    创建文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\253_appcompat.txt
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 19:59:47    修改文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\253_appcompat.txt
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 20:00:36    修改文件      操作:允许
进程路径:D:\病毒\IceLight.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\253_appcompat.txt
触发规则:应用程序规则->-----低------>*\病毒\*

2008-08-25 20:00:44    应用程序保护已经关闭.

2008-08-25 20:00:44    注册表保护已经关闭.

2008-08-25 20:00:44    文件保护已经关闭.
回复

举报

hzx19 该用户已被删除
 楼主| 发表于 2008-8-26 10:55:54 | 显示全部楼层
恩,他的保护机制有点怪

我用wsyscheck创建安全环境也关不掉icelight

至于四楼的那个相似,不会插什么模块吧,因为wsyscheck关狙剑好像狙剑的图标跟wsyscheck一样,ws一关狙剑自己就被关了。

7楼说他有病毒行为有道理,因为他把自己加的太底层,一起动瑞星就警告,is和wsyscheck都不会警告的
回复

举报

hzx19 该用户已被删除
 楼主| 发表于 2008-8-26 11:04:35 | 显示全部楼层
原帖由 yjwfdc 于 2008-8-25 20:49 发表
发现一个很奇怪的事情。

这个软件介面和冰刃很象

功能也很强,居然可以关闭微点的两个进程,但最后一个进程就无法关闭了。关eq服务也只是举手之劳。

wsyscheck.exe不可以直接关闭微点的三个进程,一定要创建 ...



可能版本原因,我就是结束不掉il进程

你说的一样我这里也不一样
回复

举报

IllusionWing
发表于 2008-8-26 13:38:16 | 显示全部楼层
修改Win32子系统?WIN32K.sys只负责解释ShadowSSDT的说...
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-14 23:00 , Processed in 0.164842 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表