瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » gggg.EXE和c0nime.exe
网络菜鸟2008 - 2007-3-12 9:11:00
无意之间访问到www.e-yn.com/video/detail.php?id=35978发现大量的木马病毒.
进程如下


附件: 787613200731290135.jpg
网络菜鸟2008 - 2007-3-12 9:13:00
所有的都删除后,如下图

附件: 787613200731290355.jpg
网络菜鸟2008 - 2007-3-12 9:16:00
使用IS 看到的启动项如下:


附件: 787613200731290632.jpg
网络菜鸟2008 - 2007-3-12 9:20:00
现在进程中还有问题,见图

附件: 787613200731291056.jpg
网络菜鸟2008 - 2007-3-12 9:30:00
CMD调用一个进程,执行一个命令行程序_wpcap_.inf

_wpcap_.inf内容如下:
--------------------------
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys
-------------------------------------

_wpcap_.BAT 内容如下:
---------------------
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
del %0
-----------------------




附件: 787613200731292051.jpg
网络菜鸟2008 - 2007-3-12 9:38:00
现在的问题是怎样保证开机不会运行CMD.EXE(CMD调用一个命令行文件cmd /c _wpcap_.bat(此文件中含有一个.INF文件 ))和RUNDLL32.EXE.

谢谢!




1
查看完整版本: gggg.EXE和c0nime.exe
© 2000 - 2026 Rising Corp. Ltd.