瑞星卡卡安全论坛

呵呵，我看到过这个病毒，不过他那个转变挺有意思的

防火墙显示禁止ping入是怎么回事？重启后就好了

菜鸟来学习

运行了一下~(没有重启~)感觉很多情况,可能都要到重启之后才能显现出来~(它的几个启动项~还有一个服务~都没有运行)

进程：
  路径： F:\!Submit\下载区(木马)\ntssl\ntssl.exe
添加对像
注册表分组：
对象：
  注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  注册表值： Intranet
      类型: REG_SZ
      值： C:\windows\ntssl.exe


进程：
  路径： F:\!Submit\下载区(木马)\ntssl\ntssl.exe


网络信息：
  IP 地址： 222.76.215.*  (这个是我的IP,它获得了存取的权限,开始下载它的那些同伙了~) 信任的区域： 是
  协议： TCP


进程：
  路径： F:\!Submit\下载区(木马)\ntssl\ntssl.exe
添加对像
注册表分组：
对象：
  注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  注册表值： Explore.exe
      类型: REG_SZ
      值： C:\windows\explore.exe

进程：
  路径： F:\!Submit\下载区(木马)\ntssl\ntssl.exe
添加对像
注册表分组：
对象：
  注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  注册表值： Taskmor.exe
      类型: REG_SZ
      值： C:\windows\taskmor.exe

此处注意:!(它开始换了~~)
进程：
  路径： F:\!Submit\下载区(木马)\ntssl\ntssl.exe
注册表分组：
对象：
  注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  注册表值： Intranet
  新的值:
      类型: REG_SZ
      值： C:\windows\intranet.exe
  先前值:
      类型: REG_SZ
      值： C:\windows\ntssl.exe

父级进程：
  路径： F:\!Submit\下载区(木马)\ntssl\ntssl.exe
启动
子级进程：
  路径： C:\WINDOWS\intranet.exe
  命令行：C:\windows\intranet.exe

由于一些安全原因,到这里,它已经没有什么动作,我就断开网络,开始观察运行它的那些同伙.(后来才发现,想了解它必须得在网上,否则看不出它的动作~)

C:\WINDOWS\tupdate.exe(运行它,有了以下动作~)

进程：
  路径： C:\WINDOWS\tupdate.exe
终止
对象：
  路径： C:\WINDOWS\taskmor.exe

父级进程：
  路径： C:\WINDOWS\tupdate.exe
启动
子级进程：
  路径： C:\WINDOWS\taskmor.exe
  命令行：C:\windows\taskmor.exe

C:\WINDOWS\intranet.exe(运行它时,它对输入法有了一些动作~~)
并且试图获得我的网络存取权限,(可能又想从网上下载什么东西了~可惜网断了~)

查找文件,从搜索里开始(发现这真的是个不错的工具~)搜索所有硬盘今天创建的文件(找到了它们~~)

禁止它们运行,删除

从这几次试运行这些木马或木马下载器,感觉最不爽的就是,不知它会下什么东西,下到哪里,(对硬盘中文件的监控为0),只有在SSM的侦测到它试图获取我的存取权限时,才能知道它想下载东西了~只有在它试图创建注册项时,才能知道,哦,它下载了这个文件,并添加运行项了,或添加服务了~~要小心.

老版~,你的电脑上对木马添加删除文件是用什么软件监控的?

引用:

【baohe的贴子】 ………………

BAOHE斑竹这款Track'n Reverse软件是什么啊？我在网上都找不到这个软件..想学学来用

【回复“影子110”的帖子】
Tiny的Activity Monitor可以看到这个木马下载器活动的每一步。前提是：设置好Tiny的相关规则。

引用:

【baohe的贴子】 没有密码钥匙。 可以用免费版。 功能上只缺少“底层磁盘存取”、“底层键盘存取”。 ………………

收到，TKS

昨天才开始使用这个工具，请问一下，是不是要全部设置一下，我找到了相关的资料，没有理出个头绪来，

引用:

【秋日里的蓝天的贴子】 收到，TKS 昨天才开始使用这个工具，请问一下，是不是要全部设置一下，我找到了相关的资料，没有理出个头绪来， ………………

http://forum.ikaka.com/topic.asp?board=28&artid=7781820
从3楼开始看。SSM使用的基础操作（动画）

引用:

【baohe的贴子】 http://forum.ikaka.com/topic.asp?board=28&artid=7781820 从3楼开始看。SSM使用的基础操作（动画） ………………

真佩服版主技术，日后如有不足之处，还望多多指教

收到：今天晚上好好学习学习

TKS

引用:

【baohe的贴子】【回复“影子110”的帖子】 Tiny的Activity Monitor可以看到这个木马下载器活动的每一步。前提是：设置好Tiny的相关规则。 ………………

斑竹 为什么不回答一下我的问题啊是不是不能把技术传授啊？？

Tiny对英语的要求高不高~~?
是否有关于这个软件使用的介绍~~?
SSM要是能再加入对硬盘文件操作的监控就好了~~~

引用:

【終生學習的贴子】 BAOHE斑竹这款Track''n Reverse软件是什么啊？我在网上都找不到这个软件..想学学来用 ………………

Track''n Reverse不是单独的软件。它是Tiny防火墙的一个组件。

引用:

【影子110的贴子】Tiny对英语的要求高不高~~? 是否有关于这个软件使用的介绍~~? SSM要是能再加入对硬盘文件操作的监控就好了~~~ ………………

http://www.tinysoftware.com/home/tiny2?pg=resources&book_name=tf2005pro_manual&intro_topic=tf6_pro_ovw
这是它的“帮助文件”（网页）。你去看看。

谢谢猫叔的指点！
    还有一个问题：
    我用hijackthis修复了几个项目，当时明明已经备份了。可是第二天打开备份列表却是空的。这是怎么回事？
    我看到备份列表有提示（病毒程序可能会删除hijackthis作的备份！）请问我的电脑是不是还有病毒？

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      9:28:53, 日期 2006-9-16
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\WINNT\system32\internat.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
D:\Program Files\SolidWorks\SLDWORKS.exe
D:\Program Files\AutoCAD 2006\acad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\WoptiUtilities\WoptiMem.exe
D:\Program Files\TTPlayer\TTPlayer.exe
F:\软件备份\HijackThis\HijackThis1991zww.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4A40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [kav] rem "c:\program files\kaspersky lab\kaspersky anti-virus 6.0\avp.exe"
O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AutoCAD 启动加速器.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meibao.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meibao.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = meibao.com
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - NT 服务: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: 卡巴斯基反病毒软件6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - NT 服务: System Set Service (SystemSet) - Unknown owner - C:\WINNT\system32\service.exe

我该学学了~

学习了

【回复“091879”的帖子】
O23 - NT 服务: System Set Service (SystemSet) - Unknown owner - C:\WINNT\system32\service.exe
这个服务~~~?