瑞星卡卡安全论坛

学习了.

这是我用rootkitrevealer 扫的日志．楼主帮看看，是不是存在rootkit病毒？

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\BDATuner.    2005-9-18 22:18    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\BDATuner.    2005-9-18 22:18    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Flash.Debug    2005-12-11 20:06    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Flash.Video    2005-12-11 20:06    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Save    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-9-18 22:58    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:20    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\    2005-8-18 9:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Lenovo\    2005-9-18 17:28    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Lenovo\    2005-9-18 17:21    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Lenovo\    2005-9-18 17:34    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Lenovo\    2005-9-18 17:07    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Lenovo\    2005-9-18 17:34    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Lenovo\    2005-8-18 10:00    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Lenovo\    2005-9-18 17:05    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed    2005-12-14 18:50    80 bytes    Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^    2005-12-11 13:30    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Adobe Photoshop 7.0     2005-9-25 0:02    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\    2003-10-20 11:34    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Photoshop 7.0     2005-9-19 21:41    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\ODBC\ODBCINST.INI\Conversor de p    2005-9-18 17:24    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\ODBC\ODBCINST.INI\MS Code Page-    2005-9-18 17:24    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Ulead Systems\    2005-9-18 17:33    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\YingSoft\YingInstall\http://www.mmsk.cn\    2005-12-11 13:30    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\    2005-8-18 9:31    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\    2005-8-18 10:01    0 bytes    Key name contains embedded nulls (*)
C:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP206\A0024302.ini    2005-12-7 18:37    1.01 KB    Hidden from Windows API.
C:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP206\A0024303.ini    2005-12-7 18:37    664 bytes    Hidden from Windows API.
C:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP206\A0024304.INI    2005-12-7 18:37    67 bytes    Hidden from Windows API.
C:\WINDOWS\Prefetch\XDICT.EXE-3AF5923A.pf    2005-12-14 18:53    38.69 KB    Hidden from Windows API.E:    1601-1-1 8:00    0 bytes    Error mounting volumeF:    1601-1-1 8:00    0 bytes    Error mounting volume
其中主要是最后粗体的几项

好，收藏

从现有的一些情况来看，XP/2003下修改的一般是dmserver服务参数。

应该是 PCShare服务端吧。其实只要用ICESWORD删除了那个SYS就好搞定了。

引用:

【诸神的黄昏的贴子】应该是 PCShare服务端吧。其实只要用ICESWORD删除了那个SYS就好搞定了。 ...........................

多谢这位朋友的回复。

我下载了PCShare,测试了一下生成的客户端程序与我本文写的实现原理相同，但它没有隐藏注册表，没有我文中提到的这个厉害，估计我文中提到的这个是它最新版本生成的，但我找不到最新版本的PcShare。

好东西。。。多谢分享

【回复“BlackStone”的帖子】
这类木马已经见到过4个。一般规律是：感染系统后， 释放.exe、.dll、.sys各一个。.dll插入ixplore.exe或winlogon.exe、services.exe等系统关键进程。.exe和.sys启动加载。如果有IceSword，总能找到查杀线索。
目前为止，这些木马的感染过程还不能完全逃脱IceSword和TPF2005的监测。下面一个例子是10月7日观察的：
http://forum.ikaka.com/topic.asp?board=28&artid=7272018

引用:

【baohe的贴子】【回复“BlackStone”的帖子】 这类木马已经见到过4个。一般规律是：感染系统后， 释放.exe、.dll、.sys各一个。.dll插入ixplore.exe或winlogon.exe、services.exe等系统关键进程。.exe和.sys启动加载。如果有IceSword，总能找到查杀线索。 目前为止，这些木马的感染过程还不能完全逃脱IceSword和TPF2005的监测。下面一个例子是10月7日观察的： http://forum.ikaka.com/topic.asp?board=28&artid=7272018 ...........................

用IceSword可以解决，但还得找到木马修改的系统注册表启动项，就拿我我帖子中提到的这个来说吧，用IceSword清除没问题，若没有把Rpcss服务的ServiceDll项改回源值，会引起系统的Rpcss启动失败或启动异常的。

唉，俺也中招了，看瑞星监控日志，OUTLOOK不断的申请网络联接，而且还不止一个，强行关闭都没用，照样在后台运行，越演越烈，连不上网的OFFICE软件们也开始不断申请上网联接，然后，明明msimn.exeK好几个在运行，可是我却连OUTLOOK的影子都看不到……胸闷得一塌糊涂！
很早就知道中了木马，可是搞不不定~高手指教……
而且在Temporary Internet Files里总会有几个网页或图片删不掉！文件不定，但总是有3-5个文件无法删除，好像隔一段时间换个替身似的。
更郁闷的是，在安全模式里瑞星防火墙根本无法打开，并提示，该文件有致命错误！
MSN接了个很一般的文件（安全无毒的），瑞星就开始嵌入式检查，检查完后就耍赖不关了，那个郁闷啊…………
HELP……
英文奇烂，整半天还是没用……

附件: 64016620051220124529.BMP

有个问题想让大家帮帮忙，是不是中了木马就有可能装不了瑞星？
我已经卸载了原来的杀毒软件了，可还是装不了瑞星！！扫描出来是中了木马的，是不是因为这个原因才装不了瑞星的？
朋友们，帮帮忙哦，拜托了
谢谢！！！

经典文章，支持一下

同意

支持。顶！！！！！

hao

楼主好厉害！ 佩服！

我也中过类似木马，是12-09那天中的，不过换了个名字，是CUZZSDFY .DLL,其他的跟楼主的一摸一样。也是在我没开IE的时候，防火墙提示有有IE访问网络，用ICEWORLD发现有隐含IE进程，知道中了木马，在IE模块中发现被插入了CUZZSDFY.DLL,查找不到CUZZSDFY.DLL 文件，后进入安全模式，在设备管理器中卸载非即插即用设备CUZZSDFY，重起后再查找CUZZSDFY*文件，全部删除。然后在注册表中继续查找CUZZSDFY，发现RPCSS项被修改为cuzzsdfy.dll，改回问题解决。

dddddddddd

真的觉得这个方法不错，看来我也要试一下

很好啊,

谢谢楼主用心良苦呀！虽然有些地方看不懂，但还是要谢谢！

先顶一下，不懂，以后慢慢看。

此贴强悍
已经收藏
学习一下

木马是什么东西?

强！
值得慢慢琢磨！

很深奥！要具备很强的基本功，比如要非常清楚rpcss服务的DLL初始值是什么，否则前功尽弃．
不过还是可以学习到楼主处理问题的一些思路．

不错，好东西！！！！

谢谢....

收下了!

ok

好久没有来了支持下