Mobile man wrote:
為什麼世上有些人總是...(恕刪)
最近還有一種情況:
在知名論壇上種入病毒或者木馬,之前據稱國內知名論壇手機王也不幸中彈=.=b
或者,更早之前意欲蔓延的論壇中彈的消息更是鬧的滿城風雨~_~
搞到後來,貓現在還沒搞清楚,到底在哪邊中了這個木馬的= =
個人積分:530分
文章編號:1928939
個人積分:600分
文章編號:1929680
根據光華反病毒研究中心專家介紹,這是一個木馬病毒,長度 176,128 位元組, 感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系統,顯示廣告內容,並竊取用戶配置資訊,這個木馬嵌入到 IE 的流覽器中,當收到、打開此病毒後,有以下現象:
A 創建文件 C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5059.dll
B 增加註冊表項 (這項應該用hijackthis可以刪除)
HKEY_CLASSES_ROOT\CLSID\{16B770A0-0E87-4278-B748-2460D64A8386}
HKEY_CLASSES_ROOT\CLSID\{16B770A0-0E87-4278-B748-2460D64A8386}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16B770A0-0E87-4278-B748-2460D64A8386}
C 創建註冊表項
HKEY_CLASSES_ROOT\IEHelper.MyIEHelper.1
HKEY_CLASSES_ROOT\IEHelper.MyIEHelper
HKEY_CLASSES_ROOT\TypeLib\{2511DE40-34A3-4C6A-B1B2-C5C92A2F00BE}
HKEY_CLASSES_ROOT\Interface\{A4BC2506-C00C-4D2E-B47F-0BB4C2C74CCF}
來源網址(簡體): http://www.pcpop.com/doc/0/156/156929.shtml
兼職MIS... 但是當全職操
個人積分:530分
文章編號:1930831
個人積分:33分
文章編號:1931592
個人積分:0分
文章編號:1931656
恶意软件清理助手:
http://dl.pconline.com.cn/html_2/1/59/id=10897&pn=0.html
Spybot-S&D:
http://www.safer-networking.org/ct/index.html
個人積分:530分
文章編號:1931762
A.防毒軟體部份:
(1)抓的到但是掃不掉(11/20/06病毒特徵碼)
Symantec Client Security
Mcafee Virus Scanner
AVG Anti-Spyware(11/22/06病毒特徵碼終於抓的到了,但是一樣掃不掉,11 47 AM 11/22/2006新增)
(2)抓不到更別說掃掉的(11/20/06病毒特徵碼)
Kaspersky on line scanner
Panda on line scanner
Bitdefender on line scanner
Microsoft Window defender
AVG Anti-Spyware
惡意軟件清理助手(10:07 AM 11/21/06新增)
瑞星卡卡上網安全助手(10:07 AM 11/21/06新增)
Yahoo tool bar (10:49 AM 11/21/06新增)
TrojanHunter(03:35 PM 11/21/06新增)
費爾托斯特安全2005 (05:29 PM 11/21/06新增)
(3)抓不到也掃不掉或者無法幫助手動移除的非防毒類工具程式
超級兔子魔法設定(02:18 PM 11/21/06新增)
Unlocker(02:18 PM 11/21/06新增)
B.木馬本身部份:
貓發現,該木馬會自動複製自己,同時更改檔名以及檔案存在的目錄,
以迷惑使用者的判斷。
原始檔案名稱與位置是:
C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelpe\2031.exe
現在又多了兩個複製品在:
C:\Documents and Settings\william\Local Settings\Temp\0ED80001\snd1
C:\Documents and Settings\william\Local Settings\Temp\06D40000\snd1
注意:以上兩個分身,都沒有副檔名。
05:07 PM 11/21/2006 新增圖片一張:
可以發現,檔名又改了,而且這次連gif這種圖形格式都跑出來啦...
05:30 PM 11/21/2006新增圖片一張:
好吧,這次檔名又改了@.@"
11:50 AM 11/22/2006新增
另外,dolphinc1234同好在
http://www.mobile01.com/topicdetail.php?f=174&t=237840&p=4
這邊也提出了他對這隻木馬進行了實驗之後的結果,得到非常有意思的觀察。
非常感謝他^.^
02:23 PM 11/24/2006新增
最後是這樣:
(1)用windows XP PE LIVE! CD開機,
(2)然後把LIVE! CD裡頭的MCAFEE Antivirus解壓縮到
虛擬磁碟機b:裡頭
(3)再把C:裡頭的AVG Antispyware綠色版
拷貝到B:裡頭
(4)分別把Antivirus以及AVG Antispyware都升級到最新版本的
病毒定義碼
(5)先用Antivirus來個全機掃描,找出病毒所在(因為Mcafee掃毒速度飛快)
(6)在用AVG Antispyware去清理找到的目錄
(7)關機.....後重開.........
解除危機,本回合戰鬥結束0.0v
停權計數:3次
個人積分:11分
文章編號:1931831
個人積分:1分
文章編號:1931883
個人積分:0分
文章編號:1931898
個人積分:530分
文章編號:1931971
