1   1  /  1  页   跳转

gggg.EXE和c0nime.exe

收藏
网络菜鸟2008
头像
初生襁褓狮
  • 帖子:36
  • 注册: 2006-11-18
  • 来自:
发表于: 2007-03-12 09:11 | 只看楼主 短消息 资料
字号: 1楼

gggg.EXE和c0nime.exe

无意之间访问到www.e-yn.com/video/detail.php?id=35978发现大量的木马病毒.
进程如下

附件附件:

下载次数:410
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-12 9:11:08
描述:



最后编辑2007-03-12 09:38:07.780000000
分享到:
gototop
 
网络菜鸟2008
头像
初生襁褓狮
  • 帖子:36
  • 注册: 2006-11-18
  • 来自:
发表于: 2007-03-12 09:13 | 只看楼主 短消息 资料
字号: 2楼

所有的都删除后,如下图

附件附件:

下载次数:382
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-12 9:13:32
描述:
gototop
 
网络菜鸟2008
头像
初生襁褓狮
  • 帖子:36
  • 注册: 2006-11-18
  • 来自:
发表于: 2007-03-12 09:16 | 只看楼主 短消息 资料
字号: 3楼

使用IS 看到的启动项如下:

附件附件:

下载次数:372
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-12 9:16:05
描述:
gototop
 
网络菜鸟2008
头像
初生襁褓狮
  • 帖子:36
  • 注册: 2006-11-18
  • 来自:
发表于: 2007-03-12 09:20 | 只看楼主 短消息 资料
字号: 4楼

现在进程中还有问题,见图

附件附件:

下载次数:406
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-12 9:20:28
描述:
gototop
 
网络菜鸟2008
头像
初生襁褓狮
  • 帖子:36
  • 注册: 2006-11-18
  • 来自:
发表于: 2007-03-12 09:30 | 只看楼主 短消息 资料
字号: 5楼

CMD调用一个进程,执行一个命令行程序_wpcap_.inf

_wpcap_.inf内容如下:
--------------------------
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys
-------------------------------------

_wpcap_.BAT 内容如下:
---------------------
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
del %0
-----------------------


附件附件:

下载次数:396
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-12 9:30:33
描述:
gototop
 
网络菜鸟2008
头像
初生襁褓狮
  • 帖子:36
  • 注册: 2006-11-18
  • 来自:
发表于: 2007-03-12 09:38 | 只看楼主 短消息 资料
字号: 6楼

现在的问题是怎样保证开机不会运行CMD.EXE(CMD调用一个命令行文件cmd /c _wpcap_.bat(此文件中含有一个.INF文件 ))和RUNDLL32.EXE.

谢谢!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT