瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 木马后门攻击:Gh0st RAT远程监控,conime.exe是否是木马全部?

1   1  /  1  页   跳转

木马后门攻击:Gh0st RAT远程监控,conime.exe是否是木马全部?

木马后门攻击:Gh0st RAT远程监控,conime.exe是否是木马全部?

如题,前几天曾经无意间下载了几个EXE文件,而且一下载完exe文件就没有了,在迅雷下载任务列表中也不见了,大概是两三个。看到了这种情况,就格式化c盘恢复了系统。但是今天开机刚刚联网防火墙就报四个gh0st rat木马后门攻击,远程地址是苏州移动和三个北京电信IDC机房,当时就马上关机了。可能是因为下载文件存放在d盘的,格式化c盘d盘还有木马,也可能e盘f盘也有了,但是防火墙没有给出木马路径,上网搜寻也没有找到有用的办法,安全模式下查杀没有结果,sreng扫描也没有看出什么,现在是没有办法了。
不过,奇怪,现在打开这个机子联网,防火墙没有再报警,已经半个小时了没有反应。
请高手给分析分析,后面附安全模式下sreng扫描日子:
今天下载了一个PrcMgr.exe进程管理器,查看进程信息发现有两个conime.exe进程,一个是正常的进程,一个是较小一些没有模块没有位置不能结束的进程,应该是和gh0st rat木马后门监控报警的提示有关,进程管理器中点击删除这个进程文件,进程管理器提示找不到文件,点击确定,然后PrcMgr.exe进程管理器被关闭了(不过,然后打开还是正常运行的状态)同时系统自带的任务管理器中的可疑conime.exe进程也没有了,到现在半个小时了也还是没有。不知道这个可疑conime.exe文件是否真的删除了还是进一步隐藏了,请高手帮忙看看,谢谢!后面附上几个进程管理器导出列表,帮忙看看有没有可疑模块,谢谢!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

下载次数:587
文件类型:application/octet-stream
文件大小:
上传时间:2010-6-8 23:40:14
描述:log

附件附件:

下载次数:615
文件类型:text/plain
文件大小:
上传时间:2010-6-9 20:55:29
描述:txt

附件附件:

下载次数:584
文件类型:text/plain
文件大小:
上传时间:2010-6-9 20:55:29
描述:txt

附件附件:

下载次数:583
文件类型:text/plain
文件大小:
上传时间:2010-6-9 20:55:29
描述:txt

附件附件:

下载次数:656
文件类型:text/plain
文件大小:
上传时间:2010-6-9 20:55:29
描述:txt

附件附件:

下载次数:578
文件类型:text/plain
文件大小:
上传时间:2010-6-9 20:55:29
描述:txt

最后编辑进化d生灵 最后编辑于 2010-06-09 21:09:31
换一个签名
分享到:
gototop
 

回复:木马后门攻击:Gh0st RAT远程监控,不知道是哪个文件

日志没发现异常,楼主把那几个文件直接保存下来看看是否能够看到,另外注意一下隐藏属性。
gototop
 

回复:木马后门攻击:Gh0st RAT远程监控,conime.exe是否是木马全部?

cd-pe下删除c:\windows\system32下的conime.exe,任务管理器的用户名可以显示了,原来怎么都无法显示,是不是这个conime.exe已经是感染病毒的了?之前没用过任务管理器,不知道之前原来用户名显示是什么样子,应该可以吧。
是不是可以说,现在这个gh0st rat木马后门就是隐藏在conime文件里的?还有别的可能没有?
真不让人省心,这些木马们。
换一个签名
gototop
 

回复:木马后门攻击:Gh0st RAT远程监控,conime.exe是否是木马全部?

该用户帖子内容已被屏蔽
gototop
 

回复:木马后门攻击:Gh0st RAT远程监控,conime.exe是否是木马全部?

首先要插进程的话建议你用process explorer ,这个软件好一些,如果不行的话建议用iceswords或xuetr(win 7 下)看看。如果不会用的话就用金山急救箱吧。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT