瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于病毒群nncc1.exe
baohe - 2007-12-16 17:52:00

这是个冒充XP补丁的木马群。

中招后的SRENG日志见附件。

这群木马比较难杀,原因在于“连环套式”的进程插入。其中C:\windows\system32\kvdxskma.dll和C:\windows\system32\LotusHlp.dll动态插入所有应用程序进程。
还带两个驱动C:\windows\system32\DRIVERS\comint32.sys和C:\windows\system32\fat32.sys。
另外,如果你在手工杀毒过程中清理过某进程中的病毒DLL,资源管理器explorer.exe进程中会被病毒插入下列一堆病毒模块:
C:\windows\system32\GDQQSGI32.dll
C:\windows\system32\GDTLI32.dll
C:\windows\system32\GDQQHXI32.dll
C:\windows\system32\GDWMI32.dll
C:\windows\system32\GDFYI32.dll
C:\windows\system32\GDMSI32.dll
C:\windows\system32\GDWLI32.dll
C:\windows\system32\GDZXI32.dll
C:\windows\system32\GDGJI32.dll
C:\windows\system32\GDHnXaI32.dll
C:\windows\system32\GDMOYI32.dll
C:\windows\system32\GDQJI32.dll
C:\windows\system32\GDMHI32.dll
C:\windows\system32\GDJZI32.dll
C:\windows\system32\GDZHTUI32.dll

即便你用IceSword禁止进程创建后,同时卸除这堆dll,也没用。虽然可以强制结束explorer.exe进程,但是,一旦你再次开启该进程,这堆DLL又原样插入了explorer.exe进程。

如果用IceSword先强制删除了那堆插入explorer.exe进程的dll,病毒还会立即释放另外3个dll(图1)。用IceSword强制删除这3个dll以及SRENG日志中所见的病毒文件,其它病毒文件就能顺利删除了(图2)。

删除所有病毒文件后,用SRENG清理一下病毒添加的注册表内容(见SRENG日志)即可。



[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)


附件: 15584720071216174102.txt
baohe - 2007-12-16 17:53:00
图1

附件: 15584720071216174230.jpg
baohe - 2007-12-16 17:54:00
图2

附件: 15584720071216174323.jpg
博导 - 2007-12-16 18:03:00
又见无聊的木马。


==========================
主动防御都出来这么久了,怎么木马不去与时俱进呀?

还在和传统杀软玩游戏。

如果我没有看错,木马作者简直就是低能儿!!白痴!
流星陨落 - 2007-12-16 18:16:00
签个名,占个楼
yqlikaka - 2007-12-16 18:30:00
哎,这些人是推动科技进步的重要力量啊
天月来了 - 2007-12-16 18:33:00
毒进步

我也进步

学猫猫
zhongzhi - 2007-12-16 18:36:00
什么!居然冒充XP补丁,这个都能想到了,真是太有才了!
能用IceSword处理,不知用草莽的Xdelbox处理会怎样?收藏猫叔贴子。
tankk - 2007-12-16 22:47:00
学习!!!

看猫叔说这么多,我真想感受一下,不知猫叔有空能不能给我发个样本~~
姑苏残月 - 2007-12-17 8:58:00
给个样本玩玩
kingevil - 2007-12-17 9:10:00
冒充xp补丁是啥样子的提示,和正常xp补丁有啥区别哇?
圣洁之神 - 2007-12-17 9:21:00
冒充XP补丁,这个都能想到了,真是太有才了!
新版小欧 - 2007-12-17 9:37:00
郁闷~~

近来真是感觉到病毒有点停步不前佬~
安全防卫 - 2007-12-17 10:09:00
木马就要撤底解决!!
无敌剑仙 - 2007-12-17 10:29:00
现在的木马都不是一个
都是马群
独孤豪侠 - 2007-12-17 11:55:00
学习......
恋爱幼儿园 - 2007-12-17 12:57:00
呵呵 学习了~ 好久没看到猫叔的帖子了。
飞逝v流星 - 2007-12-17 14:08:00
学习了
sako - 2007-12-17 16:04:00
学习了哦
日不懂啊 - 2007-12-17 17:15:00
猫叔,对于这种插入到应用程序进程的DLL文件

为什么不用XDELBOX?

在DOS下是可以删除的啊??
日不懂啊 - 2007-12-17 17:16:00
PS:
现在发现冰刃越来越不够硬了

不少病毒都把冰刃弄残废了

唉~~
一生孤心 - 2007-12-17 17:46:00
楼主,你这样的人才我找了很久,偶很有兴趣和你谈谈关于反病毒的经验
好学的忆忆 - 2007-12-17 20:59:00
学习了
subomaoming - 2007-12-18 10:21:00
很久没来,来了就看猫叔帖子,呵呵

不过病毒变了,方法没变
苦命僧 - 2007-12-18 13:43:00
恶补。。。
sako - 2007-12-19 15:51:00
引用:
【日不懂啊的贴子】PS:
现在发现冰刃越来越不够硬了

不少病毒都把冰刃弄残废了

唉~~
………………

是啊,冰忍的确不够硬了
火影忍者 - 2007-12-19 17:59:00
引用:
【日不懂啊的贴子】猫叔,对于这种插入到应用程序进程的DLL文件

为什么不用XDELBOX?

在DOS下是可以删除的啊??
………………

眼里不要只盯着XDelBox
孤独更可靠 - 2007-12-19 19:58:00
学习了

PS:

C:\windows\system32\DRIVERS\comint32.sys和C:\windows\system32\fat32.sys

这2个MS会穿还原类的东西
维尼熊 - 2007-12-20 20:33:00
楼主说的这个病毒非常厉害的。我前天花了2个多小时,终于搞定,到目前为止没再发作,机器运行正常,他ND
一生孤心 - 2007-12-20 22:06:00
偶也要样本
12
查看完整版本: 关于病毒群nncc1.exe
© 2000 - 2026 Rising Corp. Ltd.