瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 根据SRENG日志也难搞掂的一只木马

1234   2  /  4  页   跳转

根据SRENG日志也难搞掂的一只木马

收藏
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-12-22 16:42 | 短消息 资料
字号: 11楼

【回复“baohe”的帖子】
补充一点:
这东东的文件属性也比较迷惑人

===========

就是文件版本太高了
呵呵
gototop
 
kissbluesnow
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2006-10-29
  • 来自:
发表于: 2006-12-22 16:45 | 短消息 资料
字号: 12楼

SREng的日志可是要仔细看的啊...看过朋友的扫描日记,眼花不说差点吐精而亡..
学到了..注册表果然要好好检查..thx
gototop
 
高歌猛进
头像
初生襁褓狮
  • 帖子:2377
  • 注册: 2006-10-09
  • 来自:
发表于: 2006-12-22 16:51 | 短消息 资料
字号: 13楼


SREng的扫描缺陷,将使其修复功能越来越弱了,期待新版本出现
gototop
 
aikakaka
头像
拙长孩提狮
  • 帖子:147
  • 注册: 2006-02-15
  • 来自:
发表于: 2006-12-22 17:53 | 短消息 资料
字号: 14楼

引用:
【冰雨2006的贴子】猫叔我看你的那大猫头像挺好的把版权转让给我吧哈哈
………………

呵呵……转让给你,估计系统管理员的审核也不会批准的。
不过,我已经把猫叔的logo作为系统账号的logo了。
猫叔这两天的报告很多阿……辛苦啦
现在的病毒不光灭掉杀软,对扫描类软件也都作了研究阿。
学习了
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2006-12-22 19:01 | 短消息 资料
字号: 15楼

学习
gototop
 
鸟儿天上飞
头像
叱咤花甲狮
  • 帖子:2332
  • 注册: 2006-11-30
  • 来自:
发表于: 2006-12-22 19:10 | 短消息 资料
字号: 16楼

引用:
【baohe的贴子】

样本来自“剑盟”。

这个马,瑞星今天最新的病毒库还查不到。多引擎扫描结果————也没几家报。

中招的,那就只好扫日志在别人的帮助下手工杀毒。是这样吧?

好了。下一个问题:用什么扫日志?autoruns?扫不出异常。HijackThis?更不行了!
现在最流行的日志工具是SREng。那就用它扫个吧!

SREng日志中的异常项是这些:

1、服务
[C85B5A86 / C85B5A86]
  <C:\windows\system32\C85B5A86.EXE -service><Microsoft Corporation>

2、正在运行的进程

[PID: 684][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\C85B5A86.DLL]  [Microsoft Corporation, 5.2.3790.1830]
   
[PID: 1376][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\C85B5A86.DLL]  [Microsoft Corporation, 5.2.3790.1830]

由SREng日志可见,这东东够恶毒!插入了两个关键进程winlogon.exe和Explorer.EXE。
………………

怎么看进程被插入了 带??的 告诉一下偶不会看!!  然后怎么看插入文件的路径 教教俺
这毒可怕啊
gototop
 
applechen
头像
飘泊而立狮
  • 帖子:619
  • 注册: 2006-06-04
  • 来自:
发表于: 2006-12-22 20:05 | 短消息 资料
字号: 17楼

这下面的就说明是插入那个进程和路径了
[PID: 684][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\C85B5A86.DLL] [Microsoft Corporation, 5.2.3790.1830]

[PID: 1376][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\C85B5A86.DLL] [Microsoft Corporation, 5.2.3790.1830]
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-22 20:16 | 只看楼主 短消息 资料
字号: 18楼

引用:
【鸟儿天上飞的贴子】
怎么看进程被插入了 带??的 告诉一下偶不会看!!  然后怎么看插入文件的路径 教教俺
这毒可怕啊
………………

PID:起始的是一个进程。
它下面的[.................]括起来的是这个进程中所含的线程。
一个进程中有该程序自己开的线程,也有其它应用程序程序(甚至是病毒)开的线程。
gototop
 
叶·幽思
头像
横据古稀狮
  • 帖子:7280
  • 注册: 2005-09-01
  • 来自:Town
冰激凌
发表于: 2006-12-22 20:23 | 短消息 资料
字号: 19楼

引用:
【baohe的贴子】
HijackThis?更不行了!

………………


记得刚来卡卡的时候是扫HJ日志,知道为什么现在不扫HJ日志了.

That`s because HijackThis.exe is targeted by some malware and the malware will hide from the results of HijackThis.exe.
gototop
 
westbeck
头像
初生襁褓狮
  • 帖子:3572
  • 注册: 2006-07-27
  • 来自:
发表于: 2006-12-22 20:26 | 短消息 资料
字号: 20楼

猫叔这篇帖子通俗易懂,能帮到很多人的
gototop
 
<<上一主题|下一主题>>
1234   2  /  4  页   跳转
页面顶部
Powered by Discuz!NT