瑞星卡卡安全论坛
baohe - 2007-3-30 22:51:00
样本来源:http://keygen.name/download/delta.force.xtreme_keygen.exe
特点:
1、Keygen.exe运行后,在system32文件夹中释放一个随机文件名的DLL(本次感染释放的是:rqrsppn.dll)。随后,将Keygen.exe自身删除。
2、该DLL插入winlogon进程。若用IceSword强制卸除该DLL————系统崩溃,重启。
3、此DLL木马有注册表守护功能。本次感染,木马添加的注册表项如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{35845E32-35D9-46BB-9240-258AB96391C5}"=""
HKEY_CLASSES_ROOT\CLSID\
{35845E32-35D9-46BB-9240-258AB96391C5}
4、删除上述注册表项后,木马立即原样写入。用SSM禁止写入注册表——无效。
5、用SSM禁止rqrsppn.dll运行————无效。
杀毒流程:
1、打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支,找到木马写入的内容(本例为:{35845E32-35D9-46BB-9240-258AB96391C5})。
展开HKEY_CLASSES_ROOT\CLSID\,找到木马写入的CLSID(本例为{35845E32-35D9-46BB-9240-258AB96391C5}),并记下其指向的文件名及其路径。
2、用IceSword禁止进程创建。
3、删除木马添加的注册表项。
4、删除木马文件(本例为C:\windows\system32\rqrsppn.dll)。
5、待到硬盘指示灯不亮了,关闭计算机电源开关。搞掂。
过把瘾就死 - 2007-3-30 23:07:00
一直都很爱baohe的帖子,无论自己需要不需要。因为他每个帖子都是在针对问题,解决问题。
相对比起来那些只会拿工具分析病毒特征,然后到处危言耸听的小P孩子版主实用的多的多。
其实这里无非是防病毒,杀病毒。做不到你就帮求助者把损失降到最低。卡卡论坛不是百度帖吧,这里人起码辨别能力还是有的。
newcenturymoon - 2007-3-30 23:19:00
断电大法都用上了
1号新生 - 2007-3-30 23:37:00
第五步很经典阿
lishengyu - 2007-3-30 23:50:00
顶``
85991168 - 2007-3-31 0:07:00
老大 我打开了 注册表那些路径
没找到那个 是不是就没有???
附件:
8144342007330235732.jpg
寒冷的夏天 - 2007-3-31 1:43:00
好帖子 学习中
新蓝9999 - 2007-3-31 3:06:00
我去年中了一个同名的病毒,从U盘上带回来的。当时不能清除,只能删除,被感染了三百多个系统的支持文件,虽然系统还能运行,但是总觉得不如从前,而后又重新装了一遍系统。
哎,害得我损失了好些“宝贝”。.............................以后大家可别忘备份啊。
轩辕小聪 - 2007-3-31 5:01:00
baohe可以试试是否能用killbox的delete on reboot功能先删除文件,之后重启后再删除注册表。
| 引用: |
【过把瘾就死的贴子】一直都很爱baohe的帖子,无论自己需要不需要。因为他每个帖子都是在针对问题,解决问题。
相对比起来那些只会拿工具分析病毒特征,然后到处危言耸听的小P孩子版主实用的多的多。
其实这里无非是防病毒,杀病毒。做不到你就帮求助者把损失降到最低。卡卡论坛不是百度帖吧,这里人起码辨别能力还是有的。
……………… |
我不知道你的“小P孩子”指的是谁。但是不论你指的是谁,请你注意:
1.不要有年龄歧视(更何况如果小P孩子能做到的事你做不到,那么你这个所谓的“大人”是不是自己先得扪心自问一下呢)
2.不要有“含沙射影”的企图,更不要有挑拨版主之间关系的企图。每个人都有自己的特点,将不同的人拿来作比较,非要分出高下,是很不礼貌的(既然你很不喜欢“小P孩子”,那么希望你这个“大人”也能表现得更理智一点,更有胸襟一点)
baohe大叔50岁仍然活跃在反病毒论坛第一线,现实中身为医生与病魔争夺患者的生命,他研究的孔腺癌前哨淋巴结示踪法对孔腺癌的早期发现相当重要。
网络中身为反病毒论坛版主,他又为会员们的电脑安全而尽心尽力,其求实严谨的科学家的精神令我辈深深受教,他的和蔼可亲平易近人又令我辈如沐春风。在大叔丰富的人生阅历和平实坦荡的处世哲学面前,我们又何尝不都是“小P孩”。然而大叔对我们仍然是关怀和爱护的。从一步一步扶我们上路,到与我们并肩作战。直接的交流虽只有只言片语,彼此却早已心照。而在此之外,大叔的一篇篇文章便是我们成长的养料。我相信,所有其他版主对大叔的敬重与爱戴,也非一般会员所能体会。
大千世界,变化万端,美丽的东西,不应只有一种颜色。不同的思维模式,相异的表达方式,思想的交汇和碰撞,往往能产生意想不到的效果,开辟一片新的天地。
漫漫征途之上,总是会有睿智稳重的长者,也有青涩懵懂的少年,唯有互相搀扶与支撑,才能共同到达彼岸。
熬夜看帖,本已倦怠欲眠,无意间走入此帖,一语触动心弦,不禁感慨丛生,于是一吐为快。心地坦诚,并非恶意,若无意冒犯,敬请海涵。
水树雨下 - 2007-3-31 6:35:00
早上刚来就发现不和谐声音,现在牛人真是多。
无责任猜想:有人要被口水淹没了……
赤日炎炎 - 2007-3-31 7:00:00
一直习惯于看你们称baohe斑竹为猫叔,原以为是昵称,今天才知他已近知天命之年,单从年龄上说也应该得到年青代的尊称。我也是电脑爱好者,81年我就开始使用计算机了,可那时还不知道网络,更没接触过病毒,因而在对付病毒方面我是小学生,无论这里年龄大小的斑竹,都是我敬仰的老师,但对baohe我只好称为大哥了,因我也已过不惑之年了。
baohe的贴和其他斑竹的贴各有特色,对想学习的人都是很重要的。baohe在对付病毒方面讲究的是战术,具体指导对个体病毒的解决方案;别的斑竹讲究战略,对病毒的综合原理进行分析,二者相辅相成,很是完美。有人却以此进行褒甲贬乙,显得实在很浅薄。
赤日炎炎 - 2007-3-31 7:09:00
常看baohe老兄的贴,掌握了他对付病毒的绝招,那就是用IceSword禁止进程创建;如果还不行那就用删除时马上断电!
太经典了
思绪飞洋 - 2007-3-31 8:08:00
删除时断电
这招不错
我得学习学习
高歌猛进 - 2007-3-31 8:57:00
| 引用: |
【思绪飞洋的贴子】删除时断电
这招不错
我得学习学习
……………… |
偶一为之,这可是危险动作啊
鸟儿天上飞 - 2007-3-31 8:59:00
呼呼~!! 又有一个月没看到大叔发帖子了..今天来又学到了..
断电..删除鸽子的时候也好用..
yqlikaka - 2007-3-31 9:58:00
这样也行,一个字"强"!!!
puber - 2007-3-31 10:00:00
| 引用: |
【过把瘾就死的贴子】一直都很爱baohe的帖子,无论自己需要不需要。因为他每个帖子都是在针对问题,解决问题。
相对比起来那些只会拿工具分析病毒特征,然后到处危言耸听的小P孩子版主实用的多的多。
其实这里无非是防病毒,杀病毒。做不到你就帮求助者把损失降到最低。卡卡论坛不是百度帖吧,这里人起码辨别能力还是有的。
……………… |
非常同意些观点,某版口气有些大,像这样的话有很多,“HcCSBoy
别在写这无聊的玩意了..
估计是无法完全达到熊猫效果的..
搞个统计流量的没用的.. 多此一举..” ,难道你希望别人写出比熊猫更强的病毒吗,能更好的体现你的杀毒水平?熊猫开始的时候还不是有很多bug,正是同此版的对攻使其成熟起来的,而受害的却是广大的网民。
猫叔才是我们学习的好版样,从猫叔的每篇文章都可以学习很多知识。
桃子CiCi - 2007-3-31 10:13:00
顶猫叔一下!
致敬!
xyhui83 - 2007-3-31 10:55:00
猫叔是我们所有人学习的好榜样。
致敬!
nickwzy - 2007-3-31 12:58:00
呵呵,谢谢楼主了.
地区性 - 2007-3-31 13:10:00
断电?厉害阿!
一般的“大P孩”还想不出来
过把瘾就死 - 2007-3-31 15:09:00
| 引用: |
【轩辕小聪的贴子】baohe可以试试是否能用killbox的delete on reboot功能先删除文件,之后重启后再删除注册表。
我不知道你的“小P孩子”指的是谁。但是不论你指的是谁,请你注意:
1.不要有年龄歧视(更何况如果小P孩子能做到的事你做不到,那么你这个所谓的“大人”是不是自己先得扪心自问一下呢)
2.不要有“含沙射影”的企图,更不要有挑拨版主之间关系的企图。每个人都有自己的特点,将不同的人拿来作比较,非要分出高下,是很不礼貌的(既然你很不喜欢“小P孩子”,那么希望你这个“大人”也能表现得更理智一点,更有胸襟一点)
baohe大叔50岁仍然活跃在反病毒论坛第一线,现实中身为医生与病魔争夺患者的生命,他研究的孔腺癌前哨淋巴结示踪法对孔腺癌的早期发现相当重要。
网络中身为反病毒论坛版主,他又为会员们的电脑安全而尽心尽力,其求实严谨的科学家的精神令我辈深深受教,他的和蔼可亲平易近人又令我辈如沐春风。在大叔丰富的人生阅历和平实坦荡的处世哲学面前,我们又何尝不都是“小P孩”。然而大叔对我们仍然是关怀和爱护的。从一步一步扶我们上路,到与我们并肩作战。直接的交流虽只有只言片语,彼此却早已心照。而在此之外,大叔的一篇篇文章便是我们成长的养料。我相信,所有其他版主对大叔的敬重与爱戴,也非一般会员所能体会。
大千世界,变化万端,美丽的东西,不应只有一种颜色。不同的思维模式,相异的表达方式,思想的交汇和碰撞,往往能产生意想不到的效果,开辟一片新的天地。
漫漫征途之上,总是会有睿智稳重的长者,也有青涩懵懂的少年,唯有互相搀扶与支撑,才能共同到达彼岸。
熬夜看帖,本已倦怠欲眠,无意间走入此帖,一语触动心弦,不禁感慨丛生,于是一吐为快。心地坦诚,并非恶意,若无意冒犯,敬请海涵。
……………… |
心中有佛,处处是佛。心中有粪,处处是粪。
一个虚拟的网络社区,我没必要遮遮掩掩,况且我也不是个含蓄的人。
显而易见的东西我何必费力去指名道姓呢。
你认为我在含沙射影,那请尽管对号入座吧,俺也是没有办法滴!
我是来来 - 2007-3-31 15:42:00
我得学习学习
雨燕飞 - 2007-3-31 16:08:00
baohe,真是网上网下都与病毒打交道呀。学习了。
spiritfire - 2007-3-31 16:32:00
貌似my123最终版的变种驱动也需要断电法来清除!
我不是圣人 - 2007-3-31 17:35:00
学习了!!!
北燕南飞 - 2007-3-31 18:12:00
楼主和8楼的贴子都很经典,
我顶一下!!!!!!
想睡觉的星 - 2007-3-31 19:31:00
简单意懂,学习了~支持大叔~
玻璃钢耗子 - 2007-3-31 19:47:00
大家都是来学习和研究的,不是到卡卡打口水仗。
西门吹牛 - 2007-3-31 20:11:00
很激烈啊。讨教一下,断电法的原理是什么?
© 2000 - 2026 Rising Corp. Ltd.