闪电风暴 - 2006-10-5 18:26:00
卡巴斯基没有报告这只木马.
Indem木马运行后:
文件操作:
新建 C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\nso20.tmp
删除 C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\nso20.tmp
新建 C:\WINDOWS\system32\soundmix.dll
Indem.exe注入:soundmix.dll
创建钩子:CALLWNDPROC,见图1.
将soundmix.dll注入到explorer.exe
HijackThis日志中无任何异常.
SSM拦截到注册表改动.这个改动可以用Autoruns看到.见图2.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run + DTService SoundMix Driver
c:\windows\system32\soundmix.dll
所有感染完成后,结束自己运行.
清除方法:
结束Explorer.exe
删除c:\windows\system32\soundmix.dll
修复Autoruns中的:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run + DTService SoundMix Driver
c:\windows\system32\soundmix.dll
删除Indem.exe
闪电风暴 - 2006-10-5 18:27:00
闪电风暴 - 2006-10-5 18:27:00
CAPTjoe - 2006-10-5 18:30:00
先收藏。辛苦!
水树雨下 - 2006-10-5 18:31:00
学习了,SREng2里能显出来吗?
轩辕小聪 - 2006-10-5 18:46:00
| 引用: |
【水树雨下的贴子】学习了,SREng2里能显出来吗?
……………… |
可以。
闪电学习那么紧张还能上来帮助别人解决问题,精神可嘉
默聞曉語 - 2006-10-5 18:51:00
呵呵。是啊。好心人还是多。
不过我还是没找到。苦恼。
再此,还得谢谢闪电风暴。
闪电风暴 - 2006-10-5 19:13:00
| 引用: |
【轩辕小聪的贴子】
可以。
闪电学习那么紧张还能上来帮助别人解决问题,精神可嘉
……………… |
过奖了
无比上上狼 - 2006-10-5 19:17:00
闪电风暴 - 2006-10-6 12:57:00
X省X市
闪电风暴 - 2006-10-6 19:32:00
目前还不想公开
© 2000 - 2026 Rising Corp. Ltd.