纳兰明珠 - 2007-2-7 15:13:00
这是INFO病毒的运行日志
父级进程:(开始运行(病毒释放的第一个文件))
路径: C:\Documents and Settings\kemingxue\桌面\INFO.exe
PID: 1920
信息: Microsoft Data Access (Microsoft Corporation)
子级进程:
路径: C:\WINDOWS\system32\regsvr32.exe
信息: Microsoft(C) Register Server (Microsoft Corporation)
命令行:regsvr32 /s mswinsck.ocx
进程:(进行注册)
路径: C:\WINDOWS\system32\regsvr32.exe
PID: 1592
信息: Microsoft(C) Register Server (Microsoft Corporation)
注册表群组: Malware
对象:
注册表键: HKCR\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
注册表值: (默认)
类型: REG_SZ
值: C:\WINDOWS\system32\mswinsck.ocx
父级进程:
路径: C:\Documents and Settings\kemingxue\桌面\INFO.exe
PID: 1664
信息: Microsoft Data Access (Microsoft Corporation)
子级进程:(病毒释放的第二个文件)
路径: C:\WINDOWS\system32\regsvr32.exe
信息: Microsoft(C) Register Server (Microsoft Corporation)
命令行:regsvr32 /s scrrun.dll
进程:(进行注册)
路径: C:\WINDOWS\system32\regsvr32.exe
PID: 1592
信息: Microsoft(C) Register Server (Microsoft Corporation)
注册表群组: Malware
对象:
注册表键: HKCR\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
注册表值: (默认)
类型: REG_SZ
值: C:\WINDOWS\system32\mswinsck.ocx
进程:
路径: C:\WINDOWS\system32\regsvr32.exe
PID: 196
信息: Microsoft(C) Register Server (Microsoft Corporation)
注册表群组: Malware
对象:
注册表键: HKCR\CLSID\{EE09B103-97E0-11CF-978F-00A02463E06F}\InprocServer32
父级进程:(注意这个!!!!msvbvm60.dll是什么,经过对比这个是正常不带毒的)
路径: C:\Documents and Settings\kemingxue\桌面\INFO.exe
PID: 1664
信息: Microsoft Data Access (Microsoft Corporation)
子级进程:
路径: C:\WINDOWS\system32\regsvr32.exe
信息: Microsoft(C) Register Server (Microsoft Corporation)
命令行:regsvr32 /s msvbvm60.dll
父级进程:(病毒释放的第三个文件)
路径: C:\Documents and Settings\kemingxue\桌面\INFO.exe
PID: 1664
信息: Microsoft Data Access (Microsoft Corporation)
子级进程:
路径: C:\Documents and Settings\kemingxue\Local Settings\Temp\s.exe
信息: Microsoft Data Access (Microsoft Corporation)
命令行:C:\DOCUME~1\KEMING~1\LOCALS~1\Temp\s.exe inst(病毒释放的第三个文件)
进程:(删除)
路径: C:\WINDOWS\system32\regsvr32.exe
PID: 196
信息: Microsoft(C) Register Server (Microsoft Corporation)
注册表群组: Malware
对象:
注册表键: HKCR\CLSID\{32DA2B15-CFED-11D1-B747-00C04FC2B085}\InprocServer32
接着运行S.EXE
父级进程:
路径: C:\Documents and Settings\kemingxue\Local Settings\Temp\s.exe
PID: 1500
信息: Microsoft Data Access (Microsoft Corporation)
子级进程:
路径: C:\WINDOWS\system32\regsvr32.exe
信息: Microsoft(C) Register Server (Microsoft Corporation)
命令行:regsvr32 /s scrrun.dll
进程:(关机)
路径: C:\WINDOWS\explorer.exe
PID: 1044
信息: Windows Explorer (Microsoft Corporation)
对象:
路径: C:\WINDOWS\explorer.exe
信息: Windows Explorer (Microsoft Corporation)
病毒释放并注册odbcasvc.exe,盘下出现autorun.inf,指向为回收站里的INFO.EXE(垃圾手法)因为INFO.EXE在回收站,所以搜索不到。其他:未见病毒连接外网,未见病毒感染*.exe;*.com;*.htm;*.chm文件等,即病毒不带感染性。
纳兰明珠 - 2007-2-7 15:14:00
下面是解毒过程,第一步当然是关进程odbcasvc.exe,接着锁msvbvm60.dll这个是必须的,当拿到病毒样本运行到第二步的时候我就知道解这个毒的关键是锁msvbvm60.dll。显然这个病毒需要VB6驱动,所以打蛇先打头把他给锁了。锁法如下图。记得重启一次,我重启的时候有蓝屏,不过第二次就可以进去了。
附件:
817002200727150444.jpg
纳兰明珠 - 2007-2-7 15:14:00
接下来一切都简单了,死病毒一个。删除生成的文件,还原注册表,关闭服务。如图。删除所有目录下的autorun.inf。接着删除INFO.EXE主体,也就是躲在回收站里的那个,可以这么看到。怎么删除就忘记了,记得以前在学校机房的时候就是这么藏游戏的,删除,想不起来了。。。
附件:
817002200727150527.jpg
纳兰明珠 - 2007-2-7 15:16:00
还是如图,虽然不记得怎么删除了,不过这个病毒是真死掉了,死在回收站里,可怜啊。。。谁教俺怎么删。。?
附件:
817002200727150731.jpg
花花公子与小赖虫 - 2007-2-7 15:19:00
好贴..
不过问一下楼主,msvbvm60.dll属性为什么在我的电脑里没有"安全"这一项啊.我用的是XP系统的,系统文件类型是:FAT32的.
mopery - 2007-2-7 15:21:00
把文件发送 bin59420@yahoo.com.cn
mopery - 2007-2-7 15:29:00
=.= 跨网的比较慢..
你又知道我要反汇编..=.=
浪涛 - 2007-2-7 15:30:00
俺是xphome的没有以上项目,傻了,本本OEM的
纳兰明珠 - 2007-2-7 15:31:00
当然,,因为我也想学,还是反编译舒服些,像我这么弄麻烦。。
鸟儿天上飞 - 2007-2-7 15:33:00
| 引用: |
【mopery的贴子】把文件发送 bin59420@yahoo.com.cn
……………… |
你没接到吗? 那天我也让人发给你这个了..但是他只发给了baohe大叔。 ..HOHO
为什么捏...
花花公子与小赖虫 - 2007-2-7 15:42:00
【回复“浪涛”的帖子】
我按你说的设置了可还是不行,再问一下它是不是对于任何文件都起作用啊.
附件:
702560200727153311.jpg
mopery - 2007-2-7 15:42:00
先出门 回来给弄..
纳兰明珠 - 2007-2-7 15:45:00
。。。。。。。。这个。。汗。。。怎么会不行呢?在XP PRO 和2000服务器版里都可以呀
花花公子与小赖虫 - 2007-2-7 15:47:00
无奈了..难道是我系统的问题..??
花花公子与小赖虫 - 2007-2-7 15:49:00
【回复“浪涛”的帖子】
看来你和我的问题是一样的啊...
花花公子与小赖虫 - 2007-2-7 15:57:00
难道系统文件是NTFS的格式才行嘛...
© 2000 - 2026 Rising Corp. Ltd.
