闪电风暴 - 2006-7-30 17:19:00
今天接到同学的一个木马样本,样本名为:5441194.exe.
运行后,释放C:\windows\svchost.exe,C:\windows\system32\svchost.dll。另外,SSM报它释放的一个TMP文件改写注册表,添加启动项。并且修改Explorer.exe,注入explorer,使得EXPLORER启动一个线程时,就会自动加载木马。(比如我在杀木马的时候,试图打开“我的电脑”去查找木马文件。这时SSM又报explorer.exe加载svchost.exe,这也是一般这样的木马杀不尽的原因。)
添加一个BHO,指向C:\windows\system32\svchost.dll。
中毒后HijackThis日志中出现:
进程:C:\windows\svchost.exe
O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\windows\system32\svchost.dll
O4 - HKLM\..\Run: [svc] C:\windows\svchost.exe
O4 - HKCU\..\Run: [svc] C:\windows\svchost.exe
查杀方法:
1、用IceSword设置禁止线/进程创建,结束explorer.exe与svchost.exe进程(小心别搞错)
2、删除C:\windows\system32\svchost.dll与C:\windows\svchost.exe
3、使用HijackTHis修复上面提到的三项
注意:必须结束explorer.exe或者卸掉插入explorer.exe的svchost.dll(baohe版主8楼帖子),因为我不想结束,结果测试时发现即使用IceSword删除掉这个svchost.exe,那么explorer.exe还会创建它。搞得我好麻烦啊。
mopery - 2006-7-30 17:21:00
闪电这玩意瑞星不报?
我怎么记得N久以前就有这马了...
闪电风暴 - 2006-7-30 17:22:00
瑞星也不报啊
mopery - 2006-7-30 17:23:00
送我..传群共享..
闪电风暴 - 2006-7-30 17:27:00
好的
baohe - 2006-7-30 17:27:00
【回复“闪电风暴”的帖子】
如果可能,请发一个样本到:baohelin@yahoo.com.cn
谢谢!
闪电风暴 - 2006-7-30 17:31:00
已经发送。密码为123
闪电风暴 - 2006-7-30 17:41:00
顶一下
baohe - 2006-7-30 18:05:00
| 引用: |
【闪电风暴的贴子】今天接到同学的一个木马样本,样本名为:5441194.exe.
运行后,释放C:\windows\svchost.exe,C:\windows\system32\svchost.dll。另外,SSM报它释放的一个TMP文件改写注册表,添加启动项。并且修改Explorer.exe,注入explorer,使得EXPLORER启动一个线程时,就会自动加载木马。(比如我在杀木马的时候,试图打开“我的电脑”去查找木马文件。这时SSM又报explorer.exe加载svchost.exe,这也是一般这样的木马杀不尽的原因。)
添加一个BHO,指向C:\windows\system32\svchost.dll。
中毒后HijackThis日志中出现:
进程:C:\windows\svchost.exe
O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\windows\system32\svchost.dll
O4 - HKLM\..\Run: [svc] C:\windows\svchost.exe
O4 - HKCU\..\Run: [svc] C:\windows\svchost.exe
查杀方法:
1、用IceSword设置禁止线/进程创建,结束explorer.exe与svchost.exe进程
2、删除C:\windows\system32\svchost.dll与C:\windows\svchost.exe
3、使用HijackTHis修复上面提到的三项
注意:必须结束explorer.exe,因为我不想结束,结果测试时发现即使用IceSword删除掉这个svchost.exe,那么explorer.exe还会创建它。搞得我好麻烦啊。
........................... |
不结束explorer.exe进程,用IS强制卸除插入explorer.exe的svchost.dll,然后删除之,也可以。
闪电风暴 - 2006-7-30 19:18:00
| 引用: |
【baohe的贴子】| 引用: | 【闪电风暴的贴子】今天接到同学的一个木马样本,样本名为:5441194.exe.
运行后,释放C:\windows\svchost.exe,C:\windows\system32\svchost.dll。另外,SSM报它释放的一个TMP文件改写注册表,添加启动项。并且修改Explorer.exe,注入explorer,使得EXPLORER启动一个线程时,就会自动加载木马。(比如我在杀木马的时候,试图打开“我的电脑”去查找木马文件。这时SSM又报explorer.exe加载svchost.exe,这也是一般这样的木马杀不尽的原因。)
添加一个BHO,指向C:\windows\system32\svchost.dll。
中毒后HijackThis日志中出现:
进程:C:\windows\svchost.exe
O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\windows\system32\svchost.dll
O4 - HKLM\..\Run: [svc] C:\windows\svchost.exe
O4 - HKCU\..\Run: [svc] C:\windows\svchost.exe
查杀方法:
1、用IceSword设置禁止线/进程创建,结束explorer.exe与svchost.exe进程
2、删除C:\windows\system32\svchost.dll与C:\windows\svchost.exe
3、使用HijackTHis修复上面提到的三项
注意:必须结束explorer.exe,因为我不想结束,结果测试时发现即使用IceSword删除掉这个svchost.exe,那么explorer.exe还会创建它。搞得我好麻烦啊。
........................... |
不结束explorer.exe进程,用IS强制卸除插入explorer.exe的svchost.dll,然后删除之,也可以。
........................... |
谢谢
闪电风暴 - 2006-7-30 19:20:00
| 引用: |
【baohe的贴子】| 引用: | 【闪电风暴的贴子】今天接到同学的一个木马样本,样本名为:5441194.exe.
运行后,释放C:\windows\svchost.exe,C:\windows\system32\svchost.dll。另外,SSM报它释放的一个TMP文件改写注册表,添加启动项。并且修改Explorer.exe,注入explorer,使得EXPLORER启动一个线程时,就会自动加载木马。(比如我在杀木马的时候,试图打开“我的电脑”去查找木马文件。这时SSM又报explorer.exe加载svchost.exe,这也是一般这样的木马杀不尽的原因。)
添加一个BHO,指向C:\windows\system32\svchost.dll。
中毒后HijackThis日志中出现:
进程:C:\windows\svchost.exe
O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\windows\system32\svchost.dll
O4 - HKLM\..\Run: [svc] C:\windows\svchost.exe
O4 - HKCU\..\Run: [svc] C:\windows\svchost.exe
查杀方法:
1、用IceSword设置禁止线/进程创建,结束explorer.exe与svchost.exe进程
2、删除C:\windows\system32\svchost.dll与C:\windows\svchost.exe
3、使用HijackTHis修复上面提到的三项
注意:必须结束explorer.exe,因为我不想结束,结果测试时发现即使用IceSword删除掉这个svchost.exe,那么explorer.exe还会创建它。搞得我好麻烦啊。
........................... |
不结束explorer.exe进程,用IS强制卸除插入explorer.exe的svchost.dll,然后删除之,也可以。
........................... |
我在测试时也许疏忽,没有看到这个svchost.dll
710207 - 2006-7-30 19:36:00
这只马早就有了,一直不知解决方法,学习了.
闪电风暴 - 2006-7-30 19:52:00
早就有了,可是杀毒软件一直都不报,让人不理解了
710207 - 2006-7-30 20:01:00
| 引用: |
【闪电风暴的贴子】早就有了,可是杀毒软件一直都不报,让人不理解了
........................... |
以前有很多人的日志都有这个......
westbeck - 2006-7-30 20:04:00
学习了...
炫Oo逍遥oO - 2006-7-30 20:04:00
学习了 可是没看懂 也许我家就中毒了 哇``555``
闪电风暴 - 2006-7-31 9:19:00
好像和以前的木马有些不同,问题是杀毒软件不报,无法确定它是什么木马
慧惠 - 2008-4-16 10:52:00
有没有什么软件可以查杀此相木马的?
今天我一开机,QQ检测到有木马,一查是C:\windows\svchost.exe
不断地尝试连接网络,瑞星查杀没提示,但是我通过防火墙阻止了该程序的网络请求,现在每隔一分钟左右就有该阻止窗口出现.
通过搜索下载了IceSword,进程中无提示,后来使用删除与强制删除都无法把该文件去掉.
现在仍然是这样.开机QQ检测到,但因阻止了网络连接,所以一分钟就出现相关提示一次,好烦啊!
另外我不知道粉楼主所说的BHO如何写?还有最后一个"使用HijackTHis修复上面提到的三项"也不明白是什么意思.
各位高手:我应该如何解决这个问题呀?
慧惠 - 2008-4-16 10:55:00
此木马为什么瑞星不报的?
而可恶的QQ医生能够检测到,却是无法查杀,为什么呀?
防火墙阻止了该程序的网络请求后,能够正常使用吗?
好头痛呀.
© 2000 - 2026 Rising Corp. Ltd.