瑞星卡卡安全论坛

svch0st.exe－一个木马。瑞星报Rootkit.Antihide.b。卡巴斯基报：Trojan-PWS.Win32.WOW.bp。
此马在我的XPSP2系统中运行后，见到下述诡异现象：
1、在注册表的HKLM\System\CurrentControlSet\Services分支添加squell（图1）。
2、在注册表的HKLM\System\CurrentControlSet\Services分支添加NPF（图2）。
3、先在C:\windows\system32\下释放驱动vook.sys，待niq4fvl.dll释放到C:\windows\下且插入所有当前进程后，vook.sys便自裁了！重启系统后，原来添加到HKLM\System\CurrentControlSet\Services分支中的NPF也自裁了；但是，HKLM\System\CurrentControlSet\Services分支中的squell依然存在。（图3）
4、重启后，C:\windows\下的niq4fvl.dll可直接删除；HKLM\System\CurrentControlSet\Services分支中的squell也可删除。
谁能解释一下这种诡异的问题。请教了。
图1

附件: 155847200669203502.jpg

图2

附件: 155847200669203533.jpg

图3

附件: 155847200669203556.jpg

??自杀的木马??

版主说请教了，意思是这个病毒现在无法解决？
这可难过了。

引用:

【我无邪的贴子】版主说请教了，意思是这个病毒现在无法解决？ 这可难过了。 ...........................

木马已经宰了。主要是那个C:\windows\下的niq4fvl.dll，插入当前运行的所有进程。你运行一个，它就插一个。但重启系统后，可以删除这个dll。
但无法解释观察到的那些现象。

没有启动项??

把自已的驱动和一个服务也删除了,自己不也启动不了了??
是不是想学byshell,只不过没有做好??

引用:

【闪电风暴的贴子】没有启动项?? ...........................

启动项见图1（vook.sys作为系统服务启动加载）。
但是vook.sys自裁了，这个系统服务项也就是摆设。
所以，重启系统后，那个dll就被轻易的宰掉了。

当前用户的临时文件夹Temp也是空的（不像中招者的Temp中有隐藏的svch0st.exe）

附件: 155847200669211339.jpg

和网警他们发现的一样http://bbs.hzva.org/viewthread.php?tid=16841&fpage=1

引用:

【baohe的贴子】 木马已经宰了。主要是那个C:\windows\下的niq4fvl.dll，插入当前运行的所有进程。你运行一个，它就插一个。但重启系统后，可以删除这个dll。 但无法解释观察到的那些现象。 ...........................

呵呵，八成是这木马的作者粗心所至。

引用:

【我无邪的贴子】 呵呵，八成是这木马的作者粗心所至。 ...........................

倒应该不是粗心，据寿宁的说法，这个exe文件程序行列很严密，加密程度相当高。

瑞星杀的只是这个木马放的"烟雾弹".

和网警他们发现的一样http://bbs.hzva.org/viewthread.php?tid=16841&fpage=1大家共同杀掉这个病毒.

看上帖介绍，感觉是这个作者太小心了（不想被抓到尾巴，~）

或者，是这个“作品” 还在试用期~~~~

瑞星能杀的了这个病毒吗?"

智能型的病毒，防止反汇编，防用常用软件监视，发现就自毁，太强了！

引用:

【worldkiller的贴子】智能型的病毒，防止反汇编，防用常用软件监视，发现就自毁，太强了！ ...........................

已经捉到这个vook.sys了。怎么捉到的，就不说了。

附件: 1558472006610112920.jpg

请教怎么完全清除~~楼上的怎么杀的

楼上在哪找的病毒包？

关注中。。。。。

好厉害的木马！

看了？

声东击西
鸡鸣狗盗
就这8个字

好厉害的木马