12   1  /  2  页   跳转

【原创】seeleomf 病毒的处理

收藏
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2006-01-28 11:18 | 只看楼主 短消息 资料
字号: 1楼

【原创】seeleomf 病毒的处理

解释:确切的说这个病毒的名字应该不是seeleomf,他的存在并没有引起瑞星2005的“注意”,事出匆忙我也没用卡巴斯基的扫描,故不知其姓名,该病毒所有文件都与seeleomf字眼,故起名seeleomf 病毒。

早晨开机,本来准备立刻上网享受昨天女子网球双打夺冠的精彩,发现系统启动瑞星的小绿伞有异样,五分钟以后才弹出来,觉得不正常,于是开始检查系统。

打开icesword ,进程里出现一个红色的ie进程,我才刚启动机器,IE都没有打开,出现这个进程自然引起自己的怀疑。(红色IE见图)

附件附件:

下载次数:219
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-28 11:18:40
描述:
预览信息:EXIF信息



最后编辑2006-01-28 13:30:16
分享到:
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2006-01-28 11:26 | 只看楼主 短消息 资料
字号: 2楼

简单考虑一下病毒是插入到IE进程里面了。
于是自己没有接入网络开始继续病毒“寻踪”,进入icesword的“端口”栏目,发现如下图所示这个病毒插入的IE做了点“事情”。

附件附件:

下载次数:217
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-28 11:26:11
描述:
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2006-01-28 11:29 | 只看楼主 短消息 资料
字号: 3楼

SSDT 里面也显示该病毒做了坏事。

附件附件:

下载次数:264
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-28 11:29:28
描述:
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2006-01-28 11:32 | 只看楼主 短消息 资料
字号: 4楼

查询病毒插入的IE进程,查询他的“模块信息”排查之后发现seeleomf.d1l这个可疑文件,至此初步发现病毒行踪。

附件附件:

下载次数:221
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-28 11:32:45
描述:
预览信息:EXIF信息
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2006-01-28 11:36 | 只看楼主 短消息 资料
字号: 5楼

启动项里没有该病毒身影,该病毒应该是通过服务加载的。

查询注册表发现HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\下面发现seeleomf项

附件附件:

下载次数:212
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-28 11:36:27
描述:
预览信息:EXIF信息
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2006-01-28 11:36 | 只看楼主 短消息 资料
字号: 6楼

就简单地用系统自带注册表编辑器查询后发现
HKEY_LOCAL_MACHINE\SYSTEM\controlset004\services\下面发现seeleomf项

同时
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\下面也发现seeleomf(这个项事后证明应该是BAOHE版主所说的 注册表的“多重入口”删除HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\下面发现seeleomf项及HKEY_LOCAL_MACHINE\SYSTEM\controlset004\services\下面发现seeleomf项之后,该项自然消失
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-28 12:05 | 短消息 资料
字号: 7楼

【回复“真命小虫”的帖子】
一个驱动级木马。如果能逮住 seeleomf.exe,请打包,往我的邮箱发一份。
谢谢!
邮箱地址:baohelin@yahoo.com.cn
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2006-01-28 12:29 | 只看楼主 短消息 资料
字号: 8楼

以上是自己所发现该病毒的全部信息,下面上查杀过程:

第一步:点击icesword 的“打开-设置”,勾选“禁止进线程创建”和“禁止协件功能”

附件附件:

下载次数:192
文件类型:application/octet-stream
文件大小:
上传时间:2006-1-28 12:29:37
描述:
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2006-01-28 12:33 | 只看楼主 短消息 资料
字号: 9楼

第二步:点击icesword左边栏目“查看-进程”,结束被病毒插入的IE进程。(见顶楼的图)

第三步:点击icesword左边栏目的“注册表”,删除HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\下面发现seeleomf项及HKEY_LOCAL_MACHINE\SYSTEM\controlset004\services\下面发现seeleomf项。

附件附件:

下载次数:185
文件类型:application/octet-stream
文件大小:
上传时间:2006-1-28 12:33:57
描述:
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2006-01-28 12:36 | 只看楼主 短消息 资料
字号: 10楼

第四步:打开icesword左栏“文件”。删除c:\windows\system32\drivers\seeleomf.sys(笔者是操作系统是XP)

附件附件:

下载次数:165
文件类型:application/octet-stream
文件大小:
上传时间:2006-1-28 12:36:32
描述:
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT