使用XueTr手杀病毒小谈

显示全部楼层 · 发表于 2009-4-30 06:31:55

测试卡饭最近挂的木马usernit.exe这个样本？

没发现usernit.exe被修改了吗？

我测试的时候，测试了好几次都是被修改了。

显示全部楼层 · 发表于 2009-4-30 07:59:38

我实机、虚拟机试了多次都没改
可能不需要穿还原就不写userinit.exe了

显示全部楼层 · 发表于 2009-4-30 08:47:02

比较喜欢这种类型的文章，纯手工杀毒，最关键的是事先没有记录病毒行为（实际杀毒时谁会帮你记录），完全模范中毒环境！

显示全部楼层 · 发表于 2009-4-30 08:49:18

学习, 也感谢Deker兄的大作.

显示全部楼层 · 发表于 2009-4-30 10:26:26

辛苦了~
我测试actvec.exe时候它替换了系统文件aec.sys和asyncmac.sys
xuetr添加统一验证数字签名比较好
昨晚测试磁碟机，觉得如果病毒创建的文件比较多或者比较顽固，重启删除或DOS删除更方便些。
另外那个改浏览器首页ku2009那个，看到你测试时xuetr还是显示驱动是ntfs.sys，用EQ拦截其行为时驱动名是随机的，只是把驱动文件从drivers拷贝出来后才变为ntfs.sys。大家也可以配合着http://bbs.kafan.cn/thread-459626-1-1.html看，就是那个baby.exe

[ 本帖最后由 backway 于 2009-4-30 10:35 编辑 ]

显示全部楼层 · 发表于 2009-4-30 11:05:29

{AEB6717E-7E19-11d0-97EE-00C04FD91972}项对应的是shell32.dll，由于具有统一的GUID，不会误删。
我怎么知道该删哪个?

hook，驱动更不知道了，

显示全部楼层 · 发表于 2009-4-30 11:36:42

我这里看了下，用那个金山清理专家扫描的，重启后发现usernit.exe被修改。

确实穿了还原，测试之前我用金山清理诊断呢，没发现usernit.exe被修改。郁闷。
你OD用的熟吗？用od跟踪一下看看吧，反正我不会。
测试程序sd最新版。

显示全部楼层 · 发表于 2009-4-30 11:54:27

强帖，飞艇
留名学习中

显示全部楼层 · 发表于 2009-4-30 11:57:05

原帖由 backway 于 2009-4-30 10:26 发表
辛苦了~
我测试actvec.exe时候它替换了系统文件aec.sys和asyncmac.sys
xuetr添加统一验证数字签名比较好
昨晚测试磁碟机，觉得如果病毒创建的文件比较多或者比较顽固，重启删除或DOS删除更方便些。
另外那个改浏 ...

多谢关注我这里只是改了aec和asyncmac服务的启动信息。aec.sys和asyncmac.sys还是能通过签名校验的（上传的SREng Log隐藏了这几项，也可以证明），还有npf.sys也是，都没删。之后用Windows清理助手和金山清理专家检查这三个文件也没问题。

显示全部楼层 · 发表于 2009-4-30 12:01:24

汗你等下再回复啊先把帖子编辑完

晚上再来看后面的。。。
辛苦了

[原创文章] 使用XueTr手杀病毒小谈

回复 12楼 wolfwalk888 的帖子

回复 13楼 dl123100 的帖子

回复 20楼 dl123100 的帖子