12345678»   3  /  11  页   跳转

特殊病毒需要特殊的杀毒方法

收藏
小职员online
头像
拙长孩提狮
  • 帖子:87
  • 注册: 2006-12-12
  • 来自:
发表于: 2007-06-28 19:58 | 短消息 资料
字号: 21楼

C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll
何以进入进程?还是在于被注册成驱动服务。在drivers目录下应该还存在一个.sys之类的文件。这是典型的rootkit技术,我碰到的病毒文件比楼主的多。
楼主的快速按reset太虐待电脑。我觉得应该用IEFO把上述所列的.exe给劫持掉,才是比较好的解决方法
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-28 20:04 | 只看楼主 短消息 资料
字号: 22楼

引用:
【小职员online的贴子】C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll
何以进入进程?还是在于被注册成驱动服务。在drivers目录下应该还存在一个.sys之类的文件。这是典型的rootkit技术,我碰到的病毒文件比楼主的多。
楼主的快速按reset太虐待电脑。我觉得应该用IEFO把上述所列的.exe给劫持掉,才是比较好的解决方法
………………

http://boolom.com/update.exe
这是样本的地址。请你将此毒植入系统,给我拿出个.sys看看。谢谢!
PS:通过IFEO能劫持.dll?愿闻其祥。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-28 20:05 | 只看楼主 短消息 资料
字号: 23楼

引用:
【newcenturymoon的贴子】重命名也可以吧
C:\windows\system32\SvTime.dll这个东西重命名
………………

我没试改名这招。不知是否能成。
gototop
 
小职员online
头像
拙长孩提狮
  • 帖子:87
  • 注册: 2006-12-12
  • 来自:
发表于: 2007-06-28 20:23 | 短消息 资料
字号: 24楼

呵呵,IEFO本来就是可以用来调试文件的。看到个病毒用debugger就以为它的内容里只能写个debugger吗?
其实不用劫持dll文件,你列出来的这几个dll都是靠同名.exe调用的,你把它们的。exe劫持掉重启就可以了。不信你可以去试试。

说来也巧,今天刚和这玩意儿玩过,不过我并不是网上找的样本没事情做,我是公司网管,我的同事每天会给我找一大堆麻烦的。
我碰到的和你不是完全一样,我的那个是time.dll不是svtime.dll
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-28 20:28 | 只看楼主 短消息 资料
字号: 25楼

引用:
【小职员online的贴子】呵呵,IEFO本来就是可以用来调试文件的。看到个病毒用debugger就以为它的内容里只能写个debugger吗?
其实不用劫持dll文件,你列出来的这几个dll都是靠同名.exe调用的,你把它们的。exe劫持掉重启就可以了。不信你可以去试试。

说来也巧,今天刚和这玩意儿玩过,不过我并不是网上找的样本没事情做,我是公司网管,我的同事每天会给我找一大堆麻烦的。
我碰到的和你不是完全一样,我的那个是time.dll不是svtime.dll

………………

不知你是否仔细看这个帖子了?
我这个帖说的是:最后只剩下那几个dll删不掉(病毒的.exe在此之前已经全部、彻底删除)。
有dll必有同名称的.exe?谁说的?
gototop
 
小职员online
头像
拙长孩提狮
  • 帖子:87
  • 注册: 2006-12-12
  • 来自:
发表于: 2007-06-28 20:33 | 短消息 资料
字号: 26楼

呵呵,我有点糊涂了。你发帖的意思难道是让大家都去你所说的那个网址下那个病毒然后中一下,照你的方法杀一遍罗?
gototop
 
gwlucker
头像
快乐黄口狮
  • 帖子:202
  • 注册: 2006-10-06
  • 来自:
发表于: 2007-06-28 20:35 | 短消息 资料
字号: 27楼

猫叔的东西…收下学习了~
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-28 20:36 | 只看楼主 短消息 资料
字号: 28楼

引用:
【小职员online的贴子】呵呵,我有点糊涂了。你发帖的意思难道是让大家都去你所说的那个网址下那个病毒然后中一下,照你的方法杀一遍罗?
………………

没这个意思。你也不必糊涂。
既然你说有.sys、有与.dll同名的.exe,但不能拿出来看,怎么证明?凭推断?
gototop
 
火影忍者
头像
横据古稀狮
  • 帖子:7855
  • 注册: 2006-06-29
  • 来自:火星
发表于: 2007-06-28 20:58 | 短消息 资料
字号: 29楼

MS,在安全模式下应该可以直接搞定吧。。!!
gototop
 
小职员online
头像
拙长孩提狮
  • 帖子:87
  • 注册: 2006-12-12
  • 来自:
发表于: 2007-06-28 20:59 | 短消息 资料
字号: 30楼

呵呵,我回你贴不是为了跟你争啥。
你自己贴子发的图就有与。dll文件同名的。exe。我还可以告诉你现在已经有在查看隐藏文件正常的情况下依旧能够把自己隐藏掉的,而且还不是NTFS数据流的.sys
如果对驱动服务不重视,那你在分析这些东西的时候只能解决表面现象。特别是现在很多恶意软件有利用到了Drv 注册这类rootkits技术,任何一个有心人可以在网上搞到类似代码。
gototop
 
<<上一主题|下一主题>>
12345678»   3  /  11  页   跳转
页面顶部
Powered by Discuz!NT