楼主: andylaw0818
收起左侧

菜鸟发现未知病毒,请高手帮忙!

[复制链接]
yzt1004
发表于 2007-5-12 22:30:26 | 显示全部楼层
原帖由 wangjay1980 于 2007-5-12 22:25 发表
改一下扩展名就可以了,被劫持了

映像劫持
使用autoruns,在“映像劫持”项中删除所有项目
solcroft
发表于 2007-5-12 22:46:47 | 显示全部楼层
TMD,请神容易送神难!竟然用了两个互相保护的进程来避免自己被终止,干掉了一个,另一个会马上再执行!
我是用SSM封锁病毒不让它再生的,请问楼主,你有没有什么了一同时终止两个进程的工具?冰刃或SREng能不能做到?能的话,它们的程序叫什么名字?
solcroft
发表于 2007-5-12 22:47:38 | 显示全部楼层
原帖由 yzt1004 于 2007-5-13 00:00 发表

映像劫持
使用autoruns,在“映像劫持”项中删除所有项目

有些是系统项目来的,你全都删就有好戏看了
thelord
发表于 2007-5-12 23:39:12 | 显示全部楼层
好像一解压就运行了,不过怎么我的机子一点反应也没有,什么文件也没解压出来,进程里也没有可疑的,怎么回事?
yzt1004
发表于 2007-5-12 23:42:17 | 显示全部楼层
原帖由 solcroft 于 2007-5-12 22:47 发表

有些是系统项目来的,你全都删就有好戏看了

那……怎么做??
我自己没试过
yzt1004
发表于 2007-5-12 23:42:57 | 显示全部楼层
原帖由 solcroft 于 2007-5-12 22:46 发表
TMD,请神容易送神难!竟然用了两个互相保护的进程来避免自己被终止,干掉了一个,另一个会马上再执行!
我是用SSM封锁病毒不让它再生的,请问楼主,你有没有什么了一同时终止两个进程的工具?冰刃或SRE ...

用冰刃阻止进线程创建就可以
wangjay1980
发表于 2007-5-12 23:48:04 | 显示全部楼层

回复 #13 solcroft 的帖子

不会的,那里写的 是劫持的每个程序的名称,按着名称删除
dikex
发表于 2007-5-12 23:57:39 | 显示全部楼层
生成文件:
复制副本为%windir%\system32\dnebdil.exe、%windir%\system32\qcrwwxc.exe、%windir%\system32\meex.com
各个非系统分区根目录下:autorun.inf和mpqoisq.exe
——————————————————————————————————————————————————————
启动%windir%\system32\dnebdil.exe,接着dnebdil.exe启动%windir%\system32\qcrwwxc.exe原进程退出;
——————————————————————————————————————————————————————
接着dnebdil.exe开始修改注册表:
两个启动项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hfscrac   值为C:\WINDOWS\system32\dnebdil.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mpqoisq   值为C:\WINDOWS\system32\qcrwwxc.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL   CheckedValue的值设为0

接着是映象劫持,有名一点的都被添加进去了:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\***   设置Debugger的值为C:\WINDOWS\system32\qcrwwxc.exe
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
RavTask.exe
Rav.exe
RavMon.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe

——————————————————————————————————————————————————————
qcrwwxc.exe调用下面的系统命令:
"C:\WINDOWS\system32\net.exe" stop SharedAccess
"C:\WINDOWS\system32\sc.exe" config SharedAccess start= disabled
C:\WINDOWS\system32\net1 stop SharedAccess

——————————————————————————————————————————————————————
等了N分钟之后下载下面的东西:
http://count28.5iyes.com/dd.exe
http://count28.5iyes.com/1.exe
http://count28.5iyes.com/2.exe
http://count28.5iyes.com/3.exe
http://count28.5iyes.com/4.exe
http://count28.5iyes.com/5.exe
http://count28.5iyes.com/6.exe
http://count28.5iyes.com/7.exe
http://count28.5iyes.com/8.exe
http://count28.5iyes.com/9.exe
http://www.is123.cn/admin/down.txt


但只有dd.exe下载成功……

C:\WINDOWS\system32\TDown1.exe并启动它,但这东西虚拟机下运行出错了

样本密码virus

[ 本帖最后由 dikex 于 2007-5-13 00:00 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
The EQs
发表于 2007-5-12 23:59:01 | 显示全部楼层
Scan performed at: 2007-5-12 23:59:15
Scanning Log
NOD32 version 2262 (20070512) NT
Command line: C:\Documents and Settings\EQ2\桌面\TEMP
Operating memory - is OK

Date: 12.5.2007  Time: 23:59:19
Anti-Stealth technology is enabled.
Scanned disks, folders and files: C:\Documents and Settings\EQ2\桌面\TEMP\
C:\Documents and Settings\EQ2\桌面\TEMP\dnebdil.exe - probably unknown NewHeur_PE virus [7]
C:\Documents and Settings\EQ2\桌面\TEMP\meex.com - probably unknown NewHeur_PE virus [7]
C:\Documents and Settings\EQ2\桌面\TEMP\mpqoisq.exe - probably unknown NewHeur_PE virus [7]
C:\Documents and Settings\EQ2\桌面\TEMP\qcrwwxc.exe - probably unknown NewHeur_PE virus [7]
C:\Documents and Settings\EQ2\桌面\TEMP\TDown1.exe - Win32/Pacex.Gen virus
Number of scanned files: 6
Number of threats found: 5
Number of files cleaned: 5
Time of completion: 23:59:23 Total scanning time: 4 sec (00:00:04)

Notes:
[7] File is probably infected with an unknown virus.
yzt1004
发表于 2007-5-13 00:03:36 | 显示全部楼层

回复 #18 dikex 的帖子

Kaspersky AntiVirus 7 Beta剩一个TDown1.exe没有杀
被劫持的真多…… 看来收藏要多才行
不过已经用SSM防这个了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 12:44 , Processed in 0.100518 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表