1234567   4  /  7  页   跳转

shualai.exe病毒及手工查杀流程

收藏
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-18 11:27 | 短消息 资料
字号: 31楼

恩 但是一般应该是 利用ani漏洞下载一个下载者  然后 木马会一个一个接力性的下载 比如cmdbcs winform 还有你帖子中说的那些lgsy0.dll什么的 还有iexpl0re....
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-18 11:32 | 短消息 资料
字号: 32楼

引用:
【baohe的贴子】
利用ANI漏洞的木马/病毒————多是一窝一窝的。“窝”里有多少“崽子”、什么样的“崽子”,变换无穷。
看过N多因为见到shualai.exe进程而求助的日志————内容各异。

所以,建议:中招者用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作。
………………

所以 至于那个shualai 感染文件的说法是不是欠妥呢  个人认为是 利用ani漏洞的蠕虫感染文件  而不是那个shualai 哦  如果可能烦请猫叔把那个样本发给我 谢谢 我会抓紧在测试一遍 看其是不是感染文件
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-18 11:34 | 短消息 资料
字号: 33楼

以上是个人意见哦  大家一块探讨哈
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-04-18 11:47 | 短消息 资料
字号: 34楼

是,发现shualai.exe这个进程的,一般都带写木马群

好像有看到过有个日志有感染文件的,不过跟这个进程似乎没关系

应该是巧合吧..
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-18 11:51 | 短消息 资料
字号: 35楼

引用:
【孤独更可靠的贴子】是,发现shualai.exe这个进程的,一般都带写木马群

好像有看到过有个日志有感染文件的,不过跟这个进程似乎没关系

应该是巧合吧..
………………

同意撒
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-18 11:52 | 短消息 资料
字号: 36楼

最根本的还是 要打上微软的ani补丁
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-18 11:53 | 只看楼主 短消息 资料
字号: 37楼

引用:
【newcenturymoon的贴子】
引用:
【baohe的贴子】
利用ANI漏洞的木马/病毒————多是一窝一窝的。“窝”里有多少“崽子”、什么样的“崽子”,变换无穷。
看过N多因为见到shualai.exe进程而求助的日志————内容各异。

所以,建议:中招者用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作。
………………

所以 至于那个shualai 感染文件的说法是不是欠妥呢  个人认为是 利用ani漏洞的蠕虫感染文件  而不是那个shualai 哦  如果可能烦请猫叔把那个样本发给我 谢谢 我会抓紧在测试一遍 看其是不是感染文件
………………

帖子标题之所以提到shualai.exe,是因为这是中招后最明显的一个症状。
至于这类群居病毒,样本本身也没多少说明具体问题的价值。原因:不同时间运行同一样本,进入系统中的病毒文件都可以不同。
这个样本,我没保留(没什么收藏价值)。如果想要,请找not。
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-18 11:57 | 短消息 资料
字号: 38楼

引用:
【baohe的贴子】
引用:
【newcenturymoon的贴子】
引用:
【baohe的贴子】
利用ANI漏洞的木马/病毒————多是一窝一窝的。“窝”里有多少“崽子”、什么样的“崽子”,变换无穷。
看过N多因为见到shualai.exe进程而求助的日志————内容各异。

所以,建议:中招者用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作。
………………

所以 至于那个shualai 感染文件的说法是不是欠妥呢  个人认为是 利用ani漏洞的蠕虫感染文件  而不是那个shualai 哦  如果可能烦请猫叔把那个样本发给我 谢谢 我会抓紧在测试一遍 看其是不是感染文件
………………

帖子标题之所以提到shualai.exe,是因为这是中招后最明显的一个症状。
至于这类群居病毒,样本本身也没多少说明具体问题的价值。原因:不同时间运行同一样本,进入系统中的病毒文件都可以不同。
这个样本,我没保留(没什么收藏价值)。如果想要,请找not。
………………

恩 谢谢咯 我找一下not
gototop
 
alex2000
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2006-01-03
  • 来自:
发表于: 2007-04-18 12:06 | 短消息 资料
字号: 39楼

各位都是高人,小可新人,冒昧发贴,请教一二,
1,我用tiny firewall把C\windows目录保护成只读,注册表只读,没有装其他防火墙或杀毒软件(因为机子较烂),请问这样是否比较安全了?能防住楼上说的这些病毒吗?
2,SRENG是否也有扫描不到的漏洞或被篡改的注册表键值?,我用SRENG扫了几次,机子里应该没有病毒或木马了,可我的机子有一个毛病,会自动断电重启,大概两星期一次,这是什么毛病?谢谢了!!
gototop
 
spiritfire
头像
锋芒艾服狮
  • 帖子:1266
  • 注册: 2006-10-22
  • 来自:
发表于: 2007-04-18 12:27 | 短消息 资料
字号: 40楼

最近流行这种…………
gototop
 
<<上一主题|下一主题>>
1234567   4  /  7  页   跳转
页面顶部
Powered by Discuz!NT