瑞星卡卡安全论坛

1、启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <wuacult><C:\windows\wuacult.exe>  [N/A]

2、病毒文件：
C:\windows\wuacult.exe
C:\WINDOWS\inf\Insert.dll

3、被病毒插入的正常进程（注意：连瑞星监控和Tiny防火墙监控进程也被插了）：

[PID: 252][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
   
    [C:\windows\inf\Insert.dll]  [N/A, N/A]
   
[PID: 992][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
   
    [C:\windows\inf\Insert.dll]  [N/A, N/A]

[PID: 2036][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
   
    [C:\windows\inf\Insert.dll]  [N/A, N/A]

[PID: 1400][C:\Program Files\Rising\Rav\Ravmon.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
   
    [C:\windows\inf\Insert.dll]  [N/A, N/A]

[PID: 1376][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
 
    [C:\windows\inf\Insert.dll]  [N/A, N/A]

[PID: 3336][C:\Program Files\Opera\Opera.exe]  [Opera Software, 7561]
   
    [C:\windows\inf\Insert.dll]  [N/A, N/A]

[PID: 2088][C:\WINDOWS\system32\shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]
 
    [C:\windows\inf\Insert.dll]  [N/A, N/A]

[PID: 3196][C:\Program Files\Tiny Firewall Pro\tralogan.exe]  [Computer Associates International, Inc., 6.0.0.17]
   
    [C:\windows\inf\Insert.dll]  [N/A, N/A]

[PID: 3512][C:\SREng\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
 
    [C:\windows\inf\Insert.dll]  [N/A, N/A]

4、运行病毒样本后的病毒进程：

[PID: 3508][C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rar$EX00.684\tcsafe.exe]  [N/A, N/A]
 
    [C:\windows\inf\Insert.dll]  [N/A, N/A]

被动染毒后的进程（如果没隐藏的话）应该是：
C:\windows\wuacult.exe

特点：Insert.dll插入所有已经运行的程序进程。此后，用户运行什么程序，它就插入什么进程（如：SREng）

5、借助SSM的手杀流程（图1-图5）


图1

附件: 155847200727182104.jpg

图2

附件: 155847200727182124.jpg

图3

附件: 155847200727182340.jpg

图4

附件: 155847200727182205.jpg

图5

附件: 155847200727182232.jpg

顶

真恶心，又是插进程的

。现在的病毒越来越恶心了..

还好我没遇到

还好我没遇到

自动更新还是关闭的好

该用户帖子内容已被屏蔽

刚看到这句话“注意：连瑞星监控和Tiny防火墙监控进程也被插了”，我就知道baobao要拿出ssm了

引用:

【hotboy的贴子】刚看到这句话“注意：连瑞星监控和Tiny防火墙监控进程也被插了”，我就知道baobao要拿出ssm了 ………………

哈哈 你真聪明...不过大叔也算懒了..除了SSM没写别的查杀流程 也是挺麻烦的..

现在已经养成每天早上上网，先来这里看看猫叔的病毒分析帖子，那天看不到，感觉心里还空空的……嗬嗬
那这个恶心病毒，如果不用ssm，岂不是无法清除（许多人和我一样都不会用ssm的）？用冰刃“禁止进程创建”也应该可以把……

引用:

【aikakaka的贴子】用冰刃“禁止进程创建”也应该可以把…… ………………

应该可以。只是操作比较麻烦————你要将那N个被插进程中的C:\windows\inf\Insert.dll一一强制卸除。

猫叔,那个病毒在安全模式下也插入进程吗?

引用:

【303266474的贴子】猫叔,那个病毒在安全模式下也插入进程吗? ………………

没观察其安全模式下的行为

用SSM，在WINDOWS下即可搞掂。就不用费劲进什么“安全模式”了。

还没遇到过.学到一点.

引用:

【baohe的贴子】 没观察其安全模式下的行为 用SSM，在WINDOWS下即可搞掂。就不用费劲进什么“安全模式”了。 ………………

猫叔，如果用killbox和POWMV这种强制删除工具重启后删除能否搞掂呢？

呵呵。。。

看来SSM是版主的主战坦克。
版主这些高手天天在分析病毒行为和查禁办法，等于为病毒作者提个醒，由此又进一步完善、升级、变种；双方的战争永没个完。病毒作者总走在前面，安全高手们用永远只是忘羊补牢。只苦了我们这些不懂IT的百姓。

sreng都插了进程.....岂不是不能查出来?.....

引用:

【baohe的贴子】 应该可以。只是操作比较麻烦————你要将那N个被插进程中的C:\windows\inf\Insert.dll一一强制卸除。 ………………

我晕哦，一个一个的 。。。如果病毒插入N个进程，那还不累死？？

引用:

【两个铁球的贴子】呵呵。。。 看来SSM是版主的主战坦克。 版主这些高手天天在分析病毒行为和查禁办法，等于为病毒作者提个醒，由此又进一步完善、升级、变种；双方的战争永没个完。病毒作者总走在前面，安全高手们用永远只是忘羊补牢。只苦了我们这些不懂IT的百姓。 ………………

有天SSM也看不到了杂办`