家里的电脑终于中毒了。 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区家里的电脑终于中毒了。

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

家里的电脑终于中毒了。

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2008-09-27 18:14 \| 只看楼主短消息资料字号：小中大 1楼家里的电脑终于中毒了。今天打开d盘看的时候发现了一个tel.xls.exe文件去打开的时候瑞星提示是病毒由于在d盘有autorun.inf 的文件免疫所以病毒只生成了一个tel.xls.exe 关掉瑞星的提示框设置成不处理平时想找个样本练练病毒根本不给俺这个机会所以放过这个病毒下面的交给我了关掉瑞星监控启动病毒发现了病毒的一些加入启动项的动作马上扫日志日志如下附件: 您所在的用户组无法下载或查看附件一会吃晚饭就把这个病毒给宰了先去吃饭了清理完后我会把过程和一些思路写下来大家帮忙分析下看看俺有没有犯错误的地方向大家敬礼用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; 360SE)
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	分享到：

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2008-09-27 18:15 \| 只看楼主短消息资料字号：小中大 2楼回复：家里的电脑终于中毒了。运行了以后发现病毒并没有什么动作最后也不知道这个病毒是干什么的但是瑞星提示是属于木马类型的不管它了只好傻乎乎的清理首先在我的电脑里面搜索2008年9月27日创建的文件发现了这个病毒在system32文件下面生成的三个文件于是进行删除操作提示文件正在运行，拒绝访问的提示看进程里面有一个algsrv进程结束掉删除成功清理注册表启动项删除各个驱动器下面的tel.xls.exe 个人认为清理成功有不服气的上来O(∩_∩)O哈哈~ 希望能得到指导病毒样本在此附件: 您所在的用户组无法下载或查看附件本帖被评分 1 次本帖被评分 1 次 happysunday2003 最后编辑于 2008-09-27 22:10:53
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	发表于： 2008-09-29 20:13 \| 短消息资料字号：小中大 3楼回复：家里的电脑终于中毒了。粗略行为分析：释放文件副本： c:\windows\system32\SocksA.exe c:\windows\system32\FileKan.exe c:\windows\system32\algsrv.exe 各分区根目录上释放： autorun.inf tel.xls.exe 添加注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，ASocksrv HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，BSserver HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，ASocksrv HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，BSserver 循环回写文件： c:\windows\system32\algsrv.exe tel.xls.exe 不认识我没关系，因为我也不认识你。
豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:

叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:	发表于： 2008-09-29 21:10 \| 短消息资料字号：小中大 4楼回复: 家里的电脑终于中毒了。循环回写？这个怎么看。 tiny追踪下。作了以下动作（越喜欢这个工具了）附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件先用 Wsyscheck 直接到system32删除那三个程序。再删除 C盘下 autorun.inf 和 tel.xls.exe 最后到注册表修改三处键值。清空下缓存，完事。
叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2008-09-29 21:41 \| 只看楼主短消息资料字号：小中大 5楼回复: 家里的电脑终于中毒了。学长和叶陵君说的跟我发现的一样不知道学长是怎么分析出来循环回写文件： c:\windows\system32\algsrv.exe tel.xls.exe 我在procexp里面看到了每隔一段时间就会出现一个这样的动作附件: 您所在的用户组无法下载或查看附件不知道你们是用什么分析到的谢谢回答
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

小狮子AA 自信弱冠狮帖子:384 注册: 2008-07-29 来自:	发表于： 2008-09-30 10:03 \| 短消息资料字号：小中大 6楼回复 5F happysunday2003 的帖子主动防御软件跟踪么死鸟的是tiny 新郎 SSM
小狮子AA 自信弱冠狮帖子:384 注册: 2008-07-29 来自:

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2008-10-01 13:09 \| 短消息资料字号：小中大 7楼回复: 家里的电脑终于中毒了。超老病毒，记得是05年流行的。一般情况下，设置“隐藏已知文件类型扩展名”的菜鸟遇到这情况，会发一阵蒙（tel.xls.exe文件的图标是excel的，实际上是盗用excel图标的病毒文件）…… 打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

牛仔馒头飘泊而立狮帖子:581 注册: 2008-08-14 来自:	发表于： 2008-10-03 23:06 \| 短消息资料字号：小中大 8楼回复：家里的电脑终于中毒了。很好的一个典型，你走运了，，我可是没有机会，我要自己创造机会了
牛仔馒头飘泊而立狮帖子:581 注册: 2008-08-14 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT