瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于c0nime.exe和iexp1ore.exe木马群

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 234 5 6 7 8

3 / 8 页

跳转页

关于c0nime.exe和iexp1ore.exe木马群

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-03-08 19:46 | 只看楼主 短消息资料

字号：小中大 21楼

引用:

【啊a啊我的贴子】第一步没懂~!
………………

第一步显示：那4个红色的病毒进程————SSM结束不了（SSM默认显示将规则禁止但不能结束的进程显示为红色）。
那4个病毒进程，需要用IceSword禁止进程创建后，再用IceSword一一结束之。

好学的忆忆快乐黄口狮帖子:263 注册: 2007-01-28 来自:	发表于： 2007-03-08 20:47 \| 短消息资料字号：小中大 22楼学习了..
好学的忆忆快乐黄口狮帖子:263 注册: 2007-01-28 来自:

xzlx3354 拙长孩提狮帖子:121 注册: 2007-02-03 来自:	发表于： 2007-03-08 22:02 \| 短消息资料字号：小中大 23楼请问,如果没有监控的防火墙而中了这毒的话,怎么判断系统文件是被改过的?是不是根据修改时间?
xzlx3354 拙长孩提狮帖子:121 注册: 2007-02-03 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-03-08 22:09 | 只看楼主 短消息资料

字号：小中大 24楼

引用:

【xzlx3354的贴子】请问,如果没有监控的防火墙而中了这毒的话,怎么判断系统文件是被改过的?是不是根据修改时间?
………………

你指的是那个spoolsv.exe？
最简单的判断是根据图标。
正常系统文件的图标如下图
病毒文件的图标见主帖图3

附件:

文件名:155847200738220011.jpg

下载次数:213

文件类型:image/pjpeg

文件大小:

上传时间:2007-3-8 22:09:42

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯	发表于： 2007-03-09 09:18 \| 短消息资料字号：小中大 25楼猫叔你的影子系统能不能把你的地址给我啊
xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯

锋芒艾服狮

帖子:1182
注册: 2004-10-23
来自:

发表于： 2007-03-09 09:33 | 短消息资料

字号：小中大 26楼

引用:

【xiaoyueIQ的贴子】猫叔你的影子系统
能不能把你的地址给我啊
………………

http://www.powershadow.com

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-03-09 09:50 \| 短消息资料字号：小中大 27楼猫叔你也用影子系统？这里不是有人特反对影子系统吗？你用它是啥感觉？？？？？说说嘛！！！！！还行吗？没啥后遗症吧？？？？？？
天月来了版主帖子:76904 注册: 2007-02-06 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-03-09 10:02 | 只看楼主 短消息资料

字号：小中大 28楼

引用:

【天月来了的贴子】猫叔你也用影子系统？
这里不是有人特反对影子系统吗？
你用它是啥感觉？？？？？
说说嘛！！！！！
还行吗？
没啥后遗症吧？？？？？？

………………

影子系统的问题（卸净困难）：http://bbs.2dai.com/viewthread.php?tid=544123&extra=page%3D1

此法使用硬盘扇区直接操作，解决影子卸载不净问题。
使用sector editor的操作过程务必谨慎。
误操作可能导致严重后果。
不建议新手使用此法解决影子卸载问题。

not 健康舞勺狮帖子:244 注册: 2003-02-13 来自:	发表于： 2007-03-09 10:45 \| 短消息资料字号：小中大 29楼猫叔样本给个 tongxu1@163.com
not 健康舞勺狮帖子:244 注册: 2003-02-13 来自:

快乐黄口狮

帖子:172
注册: 2005-07-11
来自:

发表于： 2007-03-09 11:13 | 短消息资料

字号：小中大 30楼

引用:

【baohe的贴子】
我看到的过程是：病毒gggg.exe先删除正常系统文件spoolsv.exe；再将病毒文件spoolsv.exe写入system32目录下。WINDOWS并未报告系统文件被替换。
………………

在规则中按照图示的方法设置保护，能避免spoolsv.exe被病毒删除吗？

附件:

文件名:537873200739110331.jpg

下载次数:199

文件类型:image/pjpeg

文件大小:

上传时间:2007-3-9 11:13:04

描述:

预览信息:EXIF信息
Y Resolution : 72/1
Resolution Unit : 2
Thumbnail Compression : 6
Software Used : Adobe Photoshop 7.0
JPEG InterLength : 3993
ColorSpace : 65535
Thumbnail Data : 255
JPEG InterFormat : 294
Thumbnail ResolutionUnit : 2
Thumbnail ResolutionY : 72/1
Thumbnail ResolutionX : 72/1
PixXDim : 635
PixYDim : 431
Orientation : 1
拍摄日期 : 2007:03:09 10:55:56
X Resolution : 72/1

<<上一主题|下一主题>>

1 234 5 6 7 8

3 / 8 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于c0nime.exe和iexp1ore.exe木马群

关于c0nime.exe和iexp1ore.exe木马群

附件:

文件名:155847200738220011.jpg 下载次数:213 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(5511); 上传时间:2007-3-8 22:09:42 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于c0nime.exe和iexp1ore.exe木马群

文件名:155847200738220011.jpg

下载次数:213

文件类型:image/pjpeg

文件大小:

上传时间:2007-3-8 22:09:42

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01