瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 木马后门攻击:Gh0st RAT远程监控,conime.exe是否是木马全部?
进化d生灵 - 2010-6-8 23:40:00
如题,前几天曾经无意间下载了几个EXE文件,而且一下载完exe文件就没有了,在迅雷下载任务列表中也不见了,大概是两三个。看到了这种情况,就格式化c盘恢复了系统。但是今天开机刚刚联网防火墙就报四个gh0st rat木马后门攻击,远程地址是苏州移动和三个北京电信IDC机房,当时就马上关机了。可能是因为下载文件存放在d盘的,格式化c盘d盘还有木马,也可能e盘f盘也有了,但是防火墙没有给出木马路径,上网搜寻也没有找到有用的办法,安全模式下查杀没有结果,sreng扫描也没有看出什么,现在是没有办法了。
不过,奇怪,现在打开这个机子联网,防火墙没有再报警,已经半个小时了没有反应。
请高手给分析分析,后面附安全模式下sreng扫描日子:
今天下载了一个PrcMgr.exe进程管理器,查看进程信息发现有两个conime.exe进程,一个是正常的进程,一个是较小一些没有模块没有位置不能结束的进程,应该是和gh0st rat木马后门监控报警的提示有关,进程管理器中点击删除这个进程文件,进程管理器提示找不到文件,点击确定,然后PrcMgr.exe进程管理器被关闭了(不过,然后打开还是正常运行的状态)同时系统自带的任务管理器中的可疑conime.exe进程也没有了,到现在半个小时了也还是没有。不知道这个可疑conime.exe文件是否真的删除了还是进一步隐藏了,请高手帮忙看看,谢谢!后面附上几个进程管理器导出列表,帮忙看看有没有可疑模块,谢谢!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOGGh0st RATwenti.log

附件: 模块 2010年6月9日20时10分19秒.txt

附件: 模块 2010年6月9日20时11分2秒.txt

附件: 模块 2010年6月9日20时12分20秒.txt

附件: 模块 2010年6月9日20时12分55秒.txt

附件: 模块 2010年6月9日20时13分47秒.txt
多情屠夫 - 2010-6-9 10:29:00
日志没发现异常,楼主把那几个文件直接保存下来看看是否能够看到,另外注意一下隐藏属性。
进化d生灵 - 2010-6-9 22:52:00
cd-pe下删除c:\windows\system32下的conime.exe,任务管理器的用户名可以显示了,原来怎么都无法显示,是不是这个conime.exe已经是感染病毒的了?之前没用过任务管理器,不知道之前原来用户名显示是什么样子,应该可以吧。
是不是可以说,现在这个gh0st rat木马后门就是隐藏在conime文件里的?还有别的可能没有?
真不让人省心,这些木马们。:kaka6: :kaka2:
无枫叶 - 2010-7-4 22:27:00
该用户帖子内容已被屏蔽
天鹰之翼 - 2010-7-5 19:44:00
首先要插进程的话建议你用process explorer ,这个软件好一些,如果不行的话建议用iceswords或xuetr(win 7 下)看看。如果不会用的话就用金山急救箱吧。
1
查看完整版本: 木马后门攻击:Gh0st RAT远程监控,conime.exe是否是木马全部?