瑞星卡卡安全论坛

这是人为制造的一个乱乱糊糊的感染局面（也许有一天会成为现实）。目的是检验一下手中的工具——对付“熊猫”引起的复合感染是否有效（有Tiny保护。无保护措施者勿模仿）。

关闭杀软监控。

感染顺序：
1、RavMon.exe（一个木马下载器）
2、sxs.exe（RavMon.exe植入系统后下载来的）
3、setup.exe（最后还中了熊猫）

搞完后，扫个日志。

SREng日志中的Autorun项出现了这种令人晕糊糊的东西（杂种？）：

Autorun.inf
[C:\]
[AutoRun]
open=setup.exe
shell\open=打开(&O)
shell\open\Command=setup.exe
shell\explore=资源管理器(&X)
shell\explore\Command="setup.exe -e"
[D:\]
[AutoRun]
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源管理器(&X)
shell\explore\Command="RavMon.exe -e"

麻烦的是：遇到这种autorun.inf，右击分区盘符时，右键菜单中并无auto或“自动播放”，一切如常（图1）。但是，无论你双击打开一个分区，还是右键打开一个分区，都会运行其中一个木马。
而且，这时“熊猫”正在运行，当你你试图运行工具程序时，窗口一闪，工具程序立即关闭。

图1


附件: 1558472007112163146.JPG

有些抓狂了吧？

别急！还有一根儿救命稻草呢——KillBox 2.0.0.881。

运行KillBox 2.0.0.881。那傻乎乎的熊猫并不理睬（窃喜）。结束病毒进程（图2）。

接下来，就好办了。

将下列内容保存为fix.reg。双击之。

REGEDIT4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001


然后，点击“我的电脑”、“工具”、“文件夹选项”、“查看” 。勾选“显示系统文件夹内容”、“显示所有文件和文件夹”。按“确定”。

图2

附件: 1558472007112163248.JPG

接下来，用KillBox（当然也可用SREng）一一痛宰之（图3）。

最后用杀软收拾一下被熊猫感染过的几个.exe。


图3

附件: 1558472007112163424.JPG

猫叔又有新发现，在窃喜吧，呵呵

如果没有KillBox 怎么办？第三方任务管理器+winrar管不管用？

引用:

【水树雨下的贴子】如果没有KillBox 怎么办？第三方任务管理器+winrar管不管用？ ………………

没有杀掉熊猫进程前————不行。
我试过的工具：TuneUp——不行。WINRAR——可以，但不能杀进程。IceSword————熊猫就是灭它的窗口。SSM————先中了熊猫，再运行SSM，根本没戏。

诺顿进程管理器熊猫杀不杀？

猫叔的东西  顶

引用:

【水树雨下的贴子】诺顿进程管理器熊猫杀不杀？ ………………

没用过

请版主看一下我的日志，像烧香，可是又好像不像，这是我的日志
System Repair Engineer 2.2.6.605
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]

==================================
启动文件夹
N/A

==================================
服务
[Human Interface Device Access / HidServ]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

==================================
驱动程序
[Direct Parallel Link Driver / Ptilink]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Secdrv / Secdrv]
  <system32\DRIVERS\secdrv.sys><N/A>

==================================
浏览器加载项
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>

==================================
正在运行的进程
[PID: 364][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 420][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 444][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 488][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 500][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 652][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 732][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 768][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 812][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 860][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1064][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [D:\Program Files\winrar\rarext.dll]  [N/A, N/A]
[PID: 1156][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1592][C:\WINDOWS\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1696][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1904][C:\WINDOWS\system32\wscntfy.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Documents and Settings\shuihou\桌面\viking\VIKING杀虫剂.com]  [箫心论坛, 1, 0, 0, 1]
[PID: 936][\\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1336][D:\Program Files\winrar\WinRAR.exe]  [N/A, N/A]
[PID: 968][C:\DOCUME~1\shuihou\LOCALS~1\Temp\Rar$EX00.594\SREng\SREng.exe]  [Smallfrogs Studio, 2.2.6.605]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

确实痛苦>..

ProcessExplorer
这个目前还好使没被熊猫收录

现在开始寻找新的进程工具为以后留好路

这么冷的天，9楼的还玩裸奔？

9楼用的是最好的杀毒软件System Repair Engineer

晕,昨晚看见一个病友中了

看大叔的帖子 一句话 张知识... 不过 这毒 我遇上了 棘手啊..

汗死! 学习了,没有猫叔玩不死的病毒!
PS:为啥在超级主题中,没看见这个帖子?

引用:

【spiritfire的贴子】汗死! 学习了,没有猫叔玩不死的病毒! PS:为啥在超级主题中,没看见这个帖子? ………………

以后，尽量不发置顶帖子了。
盗窃现象太严重。这就是个例子：http://www.fat32.cn/viewthread.php?tid=3314&extra=page%3D2
严重鄙视这种“小偷”一样的版主！！

万事小心吧，最近病毒很猖狂，漏洞也多

大叔给解释一下
[D:\]
[AutoRun]
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源管理器(&X)
shell\explore\Command="RavMon.exe -e"
这个是什么意思  右键选择打开都运行病毒?

引用:

【baohe的贴子】 以后，尽量不发置顶帖子了。 盗窃现象太严重。这就是个例子：http://www.fat32.cn/viewthread.php?tid=3314&extra=page%3D2 严重鄙视这种“小偷”一样的版主！！ ………………

大叔下次写上转贴请注名出处  baohe著..

引用:

【鸟儿天上飞的贴子】大叔给解释一下 [D:\] [AutoRun] open=RavMon.exe shell\open=打开(&O) shell\open\Command=RavMon.exe shell\explore=资源管理器(&X) shell\explore\Command="RavMon.exe -e" 这个是什么意思  右键选择打开都运行病毒? ………………

主帖已经提到：
这样的 Autorun.inf，右键菜单无异常。但是，无论你通过双击、右键菜单打开分区，还是点击桌面的程序，都导致木马RavMon.exe运行 。

作为对照，你可以看看有右键菜单的Autorun.inf（熊猫的）：
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

Autorun.inf  在次升级...遇到这情况只能用工具了被..??

一劳永逸，在各盘根目录下新建一个名称为atorun.inf的文件夹！

附件: 293892007112214858.gif

-.-

话说我的文章也被...

小陌 说过了..

不理睬..

随便他们怎么剽窃...

引用:

【mopery的贴子】-.- 话说我的文章也被... 小陌 说过了.. 不理睬.. 随便他们怎么剽窃... ………………

有个办法：
写好帖子，截图，加水印。把文字变成加水印标记的图发上来。
麻烦了点儿哈..........

引用:

【baohe的贴子】 有个办法： 写好帖子，截图，加水印。把文字变成加水印标记的图发上来。 麻烦了点儿哈.......... ………………

程序是好像有点麻烦,,,,

哈哈三个高级病毒  一个  代理木马  变种  第二个没有看过  第三个是熊猫  哈哈