运行了一下~(没有重启~)感觉很多情况,可能都要到重启之后才能显现出来~(它的几个启动项~还有一个服务~都没有运行)
进程:
路径: F:\!Submit\下载区(木马)\ntssl\ntssl.exe
添加对像
注册表分组:
对象:
注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值: Intranet
类型: REG_SZ
值: C:\windows\ntssl.exe
进程:
路径: F:\!Submit\下载区(木马)\ntssl\ntssl.exe
网络信息:
IP 地址: 222.76.215.*
(这个是我的IP,它获得了存取的权限,开始下载它的那些同伙了~) 信任的区域: 是
协议: TCP
进程:
路径: F:\!Submit\下载区(木马)\ntssl\ntssl.exe
添加对像
注册表分组:
对象:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
注册表值: Explore.exe
类型: REG_SZ
值: C:\windows\explore.exe
进程:
路径: F:\!Submit\下载区(木马)\ntssl\ntssl.exe
添加对像
注册表分组:
对象:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
注册表值: Taskmor.exe
类型: REG_SZ
值: C:\windows\taskmor.exe
此处注意:!(它开始换了~~)
进程:
路径: F:\!Submit\下载区(木马)\ntssl\ntssl.exe
注册表分组:
对象:
注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值: Intranet
新的值:
类型: REG_SZ
值: C:\windows\intranet.exe
先前值:
类型: REG_SZ
值: C:\windows\ntssl.exe父级进程:
路径: F:\!Submit\下载区(木马)\ntssl\ntssl.exe
启动
子级进程:
路径: C:\WINDOWS\intranet.exe
命令行:C:\windows\intranet.exe
由于一些安全原因,到这里,它已经没有什么动作,我就断开网络,开始观察运行它的那些同伙.(后来才发现,想了解它必须得在网上,否则看不出它的动作~)
C:\WINDOWS\tupdate.exe(运行它,有了以下动作~)
进程:
路径: C:\WINDOWS\tupdate.exe
终止
对象:
路径: C:\WINDOWS\taskmor.exe
父级进程:
路径: C:\WINDOWS\tupdate.exe
启动
子级进程:
路径: C:\WINDOWS\taskmor.exe
命令行:C:\windows\taskmor.exe
C:\WINDOWS\intranet.exe(运行它时,它对输入法有了一些动作~~)
并且试图获得我的网络存取权限,(可能又想从网上下载什么东西了~可惜网断了~)
查找文件,从搜索里开始(发现这真的是个不错的工具~)搜索
所有硬盘今天创建的文件(找到了它们~~)
禁止它们运行,删除
从这几次试运行这些木马或木马下载器,感觉最不爽的就是,不知它会下什么东西,下到哪里,(对硬盘中文件的监控为0),只有在SSM的侦测到它试图获取我的存取权限时,才能知道它想下载东西了~只有在它试图创建注册项时,才能知道,哦,它下载了这个文件,并添加运行项了,或添加服务了~~要小心.
老版~,你的电脑上对木马添加删除文件是用什么软件监控的?
