瑞星卡卡安全论坛

candoall，can do all。意思是“为所欲为”吧？小样！挺嚣张！！



中毒后释放下列文件到中招的电脑中：
C:\WINDOWS\system32\candoall.exe
C:\WINDOWS\system32\alldele.ini
C:\WINDOWS\system32\allinstall.exe
C:\WINDOWS\system32\allread.ini
C:\WINDOWS\system32\hideme.sys
C:\WINDOWS\system32\MASSLTUAS35.DLL
C:\WINDOWS\system32\masxml32.dll
C:\WINDOWS\system32\passsd.exe
C:\WINDOWS\system32\低价充会员.url
C:\WINDOWS\system32\低价充钻.url
还有，IE临时文件夹中一堆乱七八糟的病毒相关文件。
IceSword进程列表中可见红字显示的C:\WINDOWS\system32\candoall.exe进程（隐藏）以及iexplore.exe进程。
candoall.exe通过80端口访问网络，反复打开http://www.investpoll.net/这个主页。
这个病毒的C:\WINDOWS\system32\hideme.sys功能还行，XDELBOX通过剪贴板导入上述病毒文件时，均报告文件不存在。常用的方法（如：用WINRAR查看文件）也找不到这些病毒文件。

中招后注册表改动内容如下：

HKEY_CLASSES_ROOT\AllDll.AllBHO
HKEY_CLASSES_ROOT\AllDll.AllBHO.1
HKEY_CLASSES_ROOT\CLSID\{0EE2B1C1-0357-4175-A2E1-8E8E1A033AE5}
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CLASSES_ROOT\CLSID\{6233543C-2323-456A-A169-2E9C5E6E977B}
HKEY_CLASSES_ROOT\Interface\{E44384ED-10F7-49FD-A210-41C9BD4A119C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
"AutoRun"="C:\\windows\\system32\\candoall.exe"
HKEY_CLASSES_ROOT\TypeLib\{04750F2D-DE63-4790-90F4-C5CE892E5AA4}\1.0\0\win32
@="C:\\windows\\system32\\masxml32.dll"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\R
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f7b74df2-e1a1-11db-8a2e-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\6\Shell
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0045D4BC-5189-4B67-969C-83BB1906C421}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00C6482D-C502-44C8-8409-FCE54AD9C208}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CA3D70E-1895-11CF-8E15-001234567890}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D1A4DEBD-C2EE-449F-B9FB-E8409F9A0BC5}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F040E541-A427-4CF7-85D8-75E3E0F476C5}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hideme
其中：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
"AutoRun"="C:\\windows\\system32\\candoall.exe"
这种加载方式还不多见。

用IceSword的手工杀毒流程：

1、结束C:\WINDOWS\system32\candoall.exe以及iexplore.exe进程。
2、删除下列文件：
C:\WINDOWS\system32\candoall.exe
C:\WINDOWS\system32\alldele.ini
C:\WINDOWS\system32\allinstall.exe
C:\WINDOWS\system32\allread.ini
C:\WINDOWS\system32\hideme.sys
C:\WINDOWS\system32\MASSLTUAS35.DLL
C:\WINDOWS\system32\masxml32.dll
C:\WINDOWS\system32\passsd.exe
C:\WINDOWS\system32\低价充会员.url
C:\WINDOWS\system32\低价充钻.url
清空IE临时文件夹。

3、删除病毒添加的上述注册表内容（其中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hideme必须用IceSword这类较强的工具才能删除）。

图1－图6是用IceSword找/删病毒文件的过程，供参考。


图1

[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)


附件: 15584720071021211613.jpg

图2

附件: 15584720071021211639.jpg

图3

附件: 15584720071021211701.jpg

图4

附件: 15584720071021211738.jpg

图5

附件: 15584720071021211757.jpg

图6

附件: 15584720071021211819.jpg

注册表改动的暴爽

[引用]这个病毒的C:\WINDOWS\system32\hideme.sys功能还行，XDELBOX通过剪贴板导入上述病毒文件时，均报告文件不存在。常用的方法（如：用SRENG查看文件）也找不到这些病毒文件。.......................
"病毒和这两工具完游戏了,担心IceSword那天也加入!!!"


请教猫叔 为什么那两个工具找不到? 下面手动杀毒用IceSword又能找到?

样本?

猫叔丢个 bin59420@yahoo.com.cn

猫叔，要分析病毒平时注意学习什么东西，感觉单单会用软件处理太简单了，希望你给个学习方向

Rootkit类的流氓软件，很早以前就有了

蛮棘手的


：（

苦了我们这些菜鸟

引用:

【Aasetup的贴子】[引用]这个病毒的C:\WINDOWS\system32\hideme.sys功能还行，XDELBOX通过剪贴板导入上述病毒文件时，均报告文件不存在。常用的方法（如：用SRENG查看文件）也找不到这些病毒文件。....................... "病毒和这两工具完游戏了,担心IceSword那天也加入!!!" 请教猫叔 为什么那两个工具找不到? 下面手动杀毒用IceSword又能找到? ………………

病毒文件被hideme.sys藏起来了。但是，candoall.exe进程躲不过IceSword。

不用冰刃，不用Tiny

猫猫说个别的好法子，让我们再学学。

我前几天遇到一电脑，那时没法上网，没任何小工具。

只有个打不开的瑞星杀软（被病毒禁了，其他的什么任务管理器等等东西都禁了）。还从没升过级的。

空手发呆。

里面一堆U盘类病毒。

真不知怎么办。

有说纯手工也可以。

可天啊，那里面一大堆病毒，那么乱。怎么去找啊。

鬼才记得系统重要文件夹下到底那些是系统的，哪些是病毒的（太多了嘛）。

没本事了。

呵呵,以后杀毒,先找HIDEME.....

隐藏玩到种地步，也算N了，除了高手有办法外，偶等多数人只能寄希望于杀软了。

好东西不能错过^_^猫叔 : hou2298@yahoo.com.cn

酷阿！！猫叔，学习学习！！好好向猫叔学习！

学到东西，谢谢猫叔。我想学习分析病毒，请问HAOHE，改学些什么东西，改往那方面努力。谢谢了。。。

见到好帖，冒泡顶一下……

引用:

【baohe的贴子】这个病毒的C:\WINDOWS\system32\hideme.sys功能还行，XDELBOX通过剪贴板导入上述病毒文件时，均报告文件不存在。常用的方法（如：用WINRAR查看文件）也找不到这些病毒文件。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor "AutoRun"="C:\\windows\\system32\\candoall.exe" 这种加载方式还不多见。 [用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn) ………………

猫叔，这个驱动文件在安全模式下可见不？还有那个自动加载的注册表键值是针对什么的?

引用:

【天月来了的贴子】不用冰刃，不用Tiny 猫猫说个别的好法子，让我们再学学。 我前几天遇到一电脑，那时没法上网，没任何小工具。 只有个打不开的瑞星杀软（被病毒禁了，其他的什么任务管理器等等东西都禁了）。还从没升过级的。 空手发呆。 里面一堆U盘类病毒。 真不知怎么办。 有说纯手工也可以。 可天啊，那里面一大堆病毒，那么乱。怎么去找啊。 鬼才记得系统重要文件夹下到底那些是系统的，哪些是病毒的（太多了嘛）。 没本事了。 ………………

我昨天发现一个并不是安全工具的东西，看隐藏的文件和删文件，保括改变的数据流（ADS?)都比冰刀强。

引用:

【天月来了的贴子】不用冰刃，不用Tiny 猫猫说个别的好法子，让我们再学学。 我前几天遇到一电脑，那时没法上网，没任何小工具。 只有个打不开的瑞星杀软（被病毒禁了，其他的什么任务管理器等等东西都禁了）。还从没升过级的。 空手发呆。 里面一堆U盘类病毒。 真不知怎么办。 有说纯手工也可以。 可天啊，那里面一大堆病毒，那么乱。怎么去找啊。 鬼才记得系统重要文件夹下到底那些是系统的，哪些是病毒的（太多了嘛）。 没本事了。 ………………

我昨天发现一个并不是安全工具的东西，看隐藏的文件和删文件，保括改变的数据流（ADS?)都比冰刀强。它一罩上去，冰岛看不见得文件一大堆。

楼上,你说的是什么工具呀???能说说吗

引用:

【天月来了的贴子】不用冰刃，不用Tiny 猫猫说个别的好法子，让我们再学学。 我前几天遇到一电脑，那时没法上网，没任何小工具。 只有个打不开的瑞星杀软（被病毒禁了，其他的什么任务管理器等等东西都禁了）。还从没升过级的。 空手发呆。 里面一堆U盘类病毒。 真不知怎么办。 有说纯手工也可以。 可天啊，那里面一大堆病毒，那么乱。怎么去找啊。 鬼才记得系统重要文件夹下到底那些是系统的，哪些是病毒的（太多了嘛）。 没本事了。 ………………

我朋友的电脑也是..杀毒软件没有..中什么毒都不知道...
上瑞星和安全网会突然被关闭...SRENG软件也打不开...
时而弹出什么输入密码连接网络的框...
乱弹病毒网站...重装说系统盘没有现在的系统新...格式化不了盘...所以重装不了...
进不了安全模式..看不见隐藏文件...不知道该怎么办~~~~

谢谢版主...收藏学习了....

引用:

【两个铁球的贴子】 我昨天发现一个并不是安全工具的东西，看隐藏的文件和删文件，保括改变的数据流（ADS?)都比冰刀强。它一罩上去，冰岛看不见得文件一大堆。 ………………

那你总得说说是啥玩意吧。

估计又是国外得了。

引用:

【ling123456的贴子】 我朋友的电脑也是..杀毒软件没有..中什么毒都不知道... 上瑞星和安全网会突然被关闭...SRENG软件也打不开... 时而弹出什么输入密码连接网络的框... 乱弹病毒网站...重装说系统盘没有现在的系统新...格式化不了盘...所以重装不了... 进不了安全模式..看不见隐藏文件...不知道该怎么办~~~~ ………………

能上网，就好办了。

不能上网，也可以找个有写保护功能的U盘，去多折腾些专杀杀吧。

好好向猫叔学习！

小样的，名字还挺会起。坚决打击，决不留情！！！

“两个铁球的贴子”不厚道啊，倒是说说是什么软件啊