在线等!关于C:\WINDOWS\system32\debug.exe请求解答!急啊! - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流在线等!关于C:\WINDOWS\system32\debug.exe请求解答!急啊!

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

在线等!关于C:\WINDOWS\system32\debug.exe请求解答!急啊!

风之雨落初生襁褓狮帖子:10 注册: 2008-06-15 来自:	发表于： 2008-08-09 02:51 \| 只看楼主短消息资料字号：小中大 1楼在线等!关于C:\WINDOWS\system32\debug.exe请求解答!急啊! 昨天瑞星弹出debug链接网络而且是不停的连接，任务管理器打不开了，系统进程出现多个debug.exe，机器很慢，cpu利用为100% 请问是什么原因？在网上查看说debug是木马，可瑞星查不出来。请求帮助！谢谢用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; (R1 1.6); .NET CLR 1.1.4322; CIBA) 附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件风之雨落最后编辑于 2008-08-09 13:49:53
风之雨落初生襁褓狮帖子:10 注册: 2008-06-15 来自:	分享到：

魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:	发表于： 2008-08-09 02:53 \| 短消息资料字号：小中大 2楼回复：关于C:\WINDOWS\system32\debug.exe请求解答将文件压缩打包上传附件
魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:

福兴韵禁止发言帖子:223 注册: 2008-07-08 来自:	发表于： 2008-08-09 10:20 \| 短消息资料字号：小中大 3楼回复：关于C:\WINDOWS\system32\debug.exe请求解答该用户帖子内容已被屏蔽网页查马三剑客
福兴韵禁止发言帖子:223 注册: 2008-07-08 来自:

风之雨落初生襁褓狮帖子:10 注册: 2008-06-15 来自:	发表于： 2008-08-09 10:36 \| 只看楼主短消息资料字号：小中大 4楼回复: 关于C:\WINDOWS\system32\debug.exe请求解答不知道中的什么，我先上传文件。附件: 您所在的用户组无法下载或查看附件
风之雨落初生襁褓狮帖子:10 注册: 2008-06-15 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-08-09 14:26 \| 短消息资料字号：小中大 5楼回复: 在线等!关于C:\WINDOWS\system32\debug.exe请求解答!急啊! 此debug.exe明显不是系统程序。尽管其显示的文件大小与系统程序debug.exe文件大小相同，但其MD5值为：21882ACE9A596593CD6721FAEFF4A58E。而系统程序debug.exe的MD5值为：6c151a8cc2cbdac06635c38ebf564c19。运行一下这个木马debug.exe，可以发现其“狸猫换太子”的把戏：先改写dllcache目录下的系统程序taskmgr.exe，然后，删除system32目录下的系统程序taskmgr.exe。由于system32目录下的taskmgr.exe是系统程序，被删除后，系统会自动从dllcache目录下拷贝一个taskmgr.exe到system32目录下。但是，此时dllcache目录下的taskmgr.exe已经被木马改写过了。所以，此时，系统拷回到system32目录下的taskmgr.exe是木马程序！其文件改写、删除动作被阻止后，又试图写若干注册表项、删除IE缓存内容。这些动作一一被阻止后，木马经80端口访问网络：61.164.108.107 （浙江省温州市电信）。等了10余分钟，未见进一步动作。结束木马debug.exe进程。完事。建议楼主： 1、用IceSword禁止进程创建。结束木马debug.exe进程、删除此debug.exe以及dllcache目录下的debug.exe。删除system32和dllcache目录下的taskmgr.exe。 2、取消IceSword的禁止进程创建。 3、从相同系统的电脑中拷贝正常系统程序debug.exe、taskmgr.exe到干净U盘。 4、将干净U盘中的debug.exe、taskmgr.exe拷贝到中招电脑中的dllcache目录和system32目录下。 baohe 最后编辑于 2008-08-09 14:55:22
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

pepsi_tjw 初生襁褓狮帖子:1 注册: 2008-08-10 来自:	发表于： 2008-08-10 11:35 \| 短消息资料字号：小中大 6楼回复：在线等!关于C:\WINDOWS\system32\debug.exe请求解答!急啊! 我也一样的问题。不知道为什么
pepsi_tjw 初生襁褓狮帖子:1 注册: 2008-08-10 来自:

Enao2005 版主帖子:2112 注册: 2004-12-02 来自:	发表于： 2008-08-10 15:57 \| 短消息资料字号：小中大 7楼回复: 在线等!关于C:\WINDOWS\system32\debug.exe请求解答!急啊! debug,exe还连网读取下载列表hxxp://1ni8sami.cn/9/jx.txt下载木马病毒30个木马植入完毕后.sreng日志可疑项目如下: 引用: 启动项目注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><xpsbos.dll offscrl.dll lenowos.dll jolinos.dll cmonos.dll dickus.dll cxhole.dll therbrek.dll manleu.dll jacknove.dll wdhotem.dll crtnumo.dll> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll> [] <{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}><C:\WINDOWS\system32\oohxdbyt.dll> [] <{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll> [] <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll> [] <{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll> [] <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll> [] <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll> [] <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll> [] <{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll> [] <{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}><C:\WINDOWS\system32\zsdgff.dll> [] <{006CA8A1-61BC-4774-A54C-F49034270BAD}><C:\WINDOWS\system32\zgtwfx.dll> [] <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll> [] <{28766E1C-74B0-4417-8C75-F12AE309EF35}><C:\WINDOWS\system32\wzcfsw.dll> [] <{F99DEFDD-200B-4410-B572-E90883D527D2}><C:\WINDOWS\system32\wrqszl.dll> [] <{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}><C:\WINDOWS\system32\kgfghd.dll> [] 正在运行的进程 [PID: 1244 / enao][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\mttwfh.dll] [N/A, ] [C:\WINDOWS\system32\oohxdbyt.dll] [N/A, ] [C:\WINDOWS\system32\wyhesm.dll] [N/A, ] [C:\WINDOWS\system32\ddserh.dll] [N/A, ] [C:\WINDOWS\system32\rfdswc.dll] [N/A, ] [C:\WINDOWS\system32\jfrwdh.dll] [N/A, ] [C:\WINDOWS\system32\sgdewg.dll] [N/A, ] [C:\WINDOWS\system32\fmcvxy.dll] [N/A, ] [C:\WINDOWS\system32\fsrgeb.dll] [N/A, ] [C:\WINDOWS\system32\zsdgff.dll] [N/A, ] [C:\WINDOWS\system32\zgtwfx.dll] [N/A, ] [C:\WINDOWS\system32\tdfhex.dll] [N/A, ] [C:\WINDOWS\system32\wzcfsw.dll] [N/A, ] [C:\WINDOWS\system32\wrqszl.dll] [N/A, ] [C:\WINDOWS\system32\kgfghd.dll] [N/A, ] [PID: 352 / enao][C:\WINDOWS\system32\wscntfy.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\rfdswc.dll] [N/A, ] [C:\WINDOWS\system32\ddserh.dll] [N/A, ] [C:\WINDOWS\system32\wyhesm.dll] [N/A, ] [C:\WINDOWS\system32\kgfghd.dll] [N/A, ] [C:\WINDOWS\system32\wzcfsw.dll] [N/A, ] [C:\WINDOWS\system32\wrqszl.dll] [N/A, ] [C:\WINDOWS\system32\tdfhex.dll] [N/A, ] [C:\WINDOWS\system32\zgtwfx.dll] [N/A, ] [C:\WINDOWS\system32\zsdgff.dll] [N/A, ] [C:\WINDOWS\system32\fsrgeb.dll] [N/A, ] [C:\WINDOWS\system32\mttwfh.dll] [N/A, ] [C:\WINDOWS\system32\fmcvxy.dll] [N/A, ] [C:\WINDOWS\system32\sgdewg.dll] [N/A, ] [C:\WINDOWS\system32\jfrwdh.dll] [N/A, ] [PID: 868 / enao][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\jfrwdh.dll] [N/A, ] [C:\WINDOWS\system32\rfdswc.dll] [N/A, ] [C:\WINDOWS\system32\ddserh.dll] [N/A, ] [C:\WINDOWS\system32\wyhesm.dll] [N/A, ] [C:\WINDOWS\system32\kgfghd.dll] [N/A, ] [C:\WINDOWS\system32\wzcfsw.dll] [N/A, ] [C:\WINDOWS\system32\wrqszl.dll] [N/A, ] [C:\WINDOWS\system32\tdfhex.dll] [N/A, ] [C:\WINDOWS\system32\zgtwfx.dll] [N/A, ] [C:\WINDOWS\system32\zsdgff.dll] [N/A, ] [C:\WINDOWS\system32\fsrgeb.dll] [N/A, ] [C:\WINDOWS\system32\mttwfh.dll] [N/A, ] [C:\WINDOWS\system32\fmcvxy.dll] [N/A, ] [C:\WINDOWS\system32\sgdewg.dll] [N/A, ] [PID: 440 / enao][E:\tool\sreng2\SRE2ff54df.EXE] [Smallfrogs Studio, 2.6.12.1018] [C:\WINDOWS\system32\kgfghd.dll] [N/A, ] [C:\WINDOWS\system32\wzcfsw.dll] [N/A, ] [C:\WINDOWS\system32\wrqszl.dll] [N/A, ] [C:\WINDOWS\system32\tdfhex.dll] [N/A, ] [C:\WINDOWS\system32\zgtwfx.dll] [N/A, ] [C:\WINDOWS\system32\zsdgff.dll] [N/A, ] [C:\WINDOWS\system32\fsrgeb.dll] [N/A, ] [C:\WINDOWS\system32\mttwfh.dll] [N/A, ] [C:\WINDOWS\system32\fmcvxy.dll] [N/A, ] [C:\WINDOWS\system32\sgdewg.dll] [N/A, ] [C:\WINDOWS\system32\jfrwdh.dll] [N/A, ] [C:\WINDOWS\system32\rfdswc.dll] [N/A, ] [C:\WINDOWS\system32\ddserh.dll] [N/A, ] [C:\WINDOWS\system32\wyhesm.dll] [N/A, ] 清除方法 C:\WINDOWS\system32\kgfghd.dll C:\WINDOWS\system32\wzcfsw.dll C:\WINDOWS\system32\wrqszl.dll C:\WINDOWS\system32\tdfhex.dll C:\WINDOWS\system32\zgtwfx.dll C:\WINDOWS\system32\zsdgff.dll C:\WINDOWS\system32\fsrgeb.dll C:\WINDOWS\system32\mttwfh.dll C:\WINDOWS\system32\fmcvxy.dll C:\WINDOWS\system32\sgdewg.dll C:\WINDOWS\system32\jfrwdh.dll C:\WINDOWS\system32\rfdswc.dll C:\WINDOWS\system32\ddserh.dll C:\WINDOWS\system32\wyhesm.dll C:\WINDOWS\system32\oohxdbyt.dll 上面文件用XDelBox一次性删除 (enao.ys168.com 下载) 复制上面所有要删除的文件，打开XDelBox,在待删除列表点右键==>选择剪贴版导入不检查路径==>点右键==>选择==>立刻重启执行删除编辑<AppInit_DLLs>内容为空即删除<xpsbos.dll offscrl.dll lenowos.dll jolinos.dll cmonos.dll dickus.dll cxhole.dll therbrek.dll manleu.dll jacknove.dll wdhotem.dll crtnumo.dll> 删除注册表项目 <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll> [] <{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}><C:\WINDOWS\system32\oohxdbyt.dll> [] <{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll> [] <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll> [] <{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll> [] <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll> [] <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll> [] <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll> [] <{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll> [] <{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}><C:\WINDOWS\system32\zsdgff.dll> [] <{006CA8A1-61BC-4774-A54C-F49034270BAD}><C:\WINDOWS\system32\zgtwfx.dll> [] <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll> [] <{28766E1C-74B0-4417-8C75-F12AE309EF35}><C:\WINDOWS\system32\wzcfsw.dll> [] <{F99DEFDD-200B-4410-B572-E90883D527D2}><C:\WINDOWS\system32\wrqszl.dll> [] <{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}><C:\WINDOWS\system32\kgfghd.dll> [] Enao2005 最后编辑于 2008-08-10 15:59:02
Enao2005 版主帖子:2112 注册: 2004-12-02 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-08-10 16:57 \| 短消息资料字号：小中大 8楼回复 1F 风之雨落的帖子昨天晚上拿到了此毒的主体程序（附件中，密码：123）。系统程序debug.exe、taskmgr.exe被病毒改动的前因后果见：http://bbs.janmeng.com/thread-787648-1-1.html 防护关键点见：http://bbs.janmeng.com/thread-787662-1-1.html 附件: 您所在的用户组无法下载或查看附件 baohe 最后编辑于 2008-08-10 17:01:45
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

dynapert 初生襁褓狮帖子:4 注册: 2008-08-10 来自:	发表于： 2008-08-10 22:33 \| 短消息资料字号：小中大 9楼回复：在线等!关于C:\WINDOWS\system32\debug.exe请求解答!急啊! 我也中了这个病毒，是在今天上www.shike.org.cn网站查列车时刻表时中的。想请教一下，该怎样把这个病毒杀掉？ debug已经禁止了，可还是不能删除它！ PS：大家千万不要再上这个www.shike.org.cn网站了！
dynapert 初生襁褓狮帖子:4 注册: 2008-08-10 来自:

十五少初生襁褓狮帖子:1 注册: 2008-08-11 来自:	发表于： 2008-08-11 15:43 \| 短消息资料字号：小中大 10楼回复：在线等!关于C:\WINDOWS\system32\debug.exe请求解答!急啊! 我也碰到这个问题啊
十五少初生襁褓狮帖子:1 注册: 2008-08-11 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT