查看: 2266|回复: 4
收起左侧

[讨论] 很高兴中毒了,发症状图供大家讨论

[复制链接]
gbboy123
发表于 2007-6-8 11:27:50 | 显示全部楼层 |阅读模式
病毒症状1.JPG 病毒症状2.JPG 电脑平静太久了,终于发生点事热闹一下,大家先看图,我在图下面说明一些情况。 病毒症状3.JPG 病毒症状4.JPG 病毒症状5.JPG 病毒症状6.JPG

电脑平静太久了,终于发生点事热闹一下。
说明:
1、情况下,系统进程正常。在人工结束kis7.0进程时,出现很多ntsd.ese进程(我个ntsd.ese应该是一个结束进程的dos命令,本菜在windows下用过),而且此时系统运行超慢。
2、出现ie进程,而在此时,本菜并未打开任何网页,进程应该是恶意程序加载的广告。
3、有一个svchost的用户名指向是本机用户,svchost的应该只是被system和一些网络所用,所以svchost的对应的用户应该没有本机用户。而且用工具查看后发现,这个svchost是小写的,位置更别说了,居然在windows的目录下面。
4、所有文件夹里的exe可执行程序不可运行,在双击运行时,ssm会报警,除了正常的程序外,还有一个m打头的程序要同时运行,无论用户是否选择运行第二附加的程序,该程序都不能打开(所有程序均为此症状)。使用一些工具时,只能在压缩包里运行。
5、很多exe的dos命令图标被改为记事本的图标,但除了deltree,呵呵,怪事。
6、服务里应该有鬼。有一个服务名为局域网通讯协议,描述为空,服务名称为“hello world”,可执行程序路径为:C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE(这肯定是鬼啦)本人已设置为禁用。因为杀完木马完后,很多程序都被avg干掉了,所以截不了图了。晕```````
7、使用avg(在压缩包里直接运行)并升级至最新病毒库后,查杀结果见图。注意最后一张,显示木马杀客和kissbox的后面都一个“spec.fne”的东西,不认识,没跟他吃过饭。
8、最厉害的地方。本人在dm电脑后做了一个ghost,在windows下也将扩展名改成000,但进dos后,即使将扩展名改回gho,也不能ghost。本ghost是从同事的电脑copy过来的,应该没问题。

奇怪之处:
1、kis7.0.0.119并没有报毒,查杀我的电脑也没发现病毒。我已经打开kis的自我保护及其它所有保护,kis应该没有被俘虏吧。
2、可以操作文件夹选项,选择查看隐藏和被保护的文件。

晕到家,程序都被木马破坏,又让自己用avg7.5删除了,唉,
好了,请高手们各抒已见吧。

本贴同发卡饭和54master.

通过多出的服务项所对应的程序路径,在网上查后了解,该木马应为“艾尼”新变种,应该比网上贴子说的木马还要新。

[ 本帖最后由 gbboy123 于 2007-6-8 12:34 编辑 ]
wangjay1980
发表于 2007-6-8 11:51:34 | 显示全部楼层
很多可能是误报,卡巴即使扫描不报,也还是有主动防御的。

意见就是,学会使用主动防御。

还有就是请扫个SRE报告
gbboy123
 楼主| 发表于 2007-6-8 11:56:14 | 显示全部楼层

回复 #2 wangjay1980 的帖子

当时所有在文件夹里的程序都不可使用,sre、iceword即便是在改名后也不例外。目前已用avg7.5处理完毕,但损失不小啊[:26:]

谢谢提醒,我的主动防御除了注册表按卡饭网友的意见加了一条规则外,别的主动防御都是卡巴默认设置。

[ 本帖最后由 gbboy123 于 2007-6-8 11:58 编辑 ]
wangjay1980
发表于 2007-6-8 12:39:13 | 显示全部楼层
主动防御全开,注册表里记得添加关于映像劫持的规则,这样就可以抵御绝大多数病毒
gbboy123
 楼主| 发表于 2007-6-8 13:33:37 | 显示全部楼层

回复 #4 wangjay1980 的帖子

收到,学习中。感谢帮助。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 16:43 , Processed in 0.130520 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表