12   1  /  2  页   跳转

Trojan-Proxy.Win32.Agent.fv的查杀。

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-01 17:41 | 显示全部 短消息 资料
字号: 1楼

Trojan-Proxy.Win32.Agent.fv的查杀。

这两天,报告感染这个木马的帖子多了。我拿到的样本:感染系统后,可见SVCH0ST.EXE进程;另一个朋友报告的进程名是windows.exe。看样子病毒进程名是可变的。其特点是:感染系统后,在每个分区的根目录下创建一个名为WEB的可执行文件(图标为文件夹)。

这个木马的手工查杀方法如下:

1/结束病毒进程SVCH0ST.EXE(或其它进程名,如:windows.exe)。注意:SVCH0ST.EXE中的"0"是数字;而不是英文字母。
2/删除病毒文件(图)
3/清理注册表:

定位到: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt"=dword:00000001改为:"HideFileExt"=dword:00000000

定位到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"Net"="C:\\windows\\system32\\SVCH0ST.EXE"

定位到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

删除:"Load"="C:\\windows\\assistse.exe"

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-1 17:41:26
描述:



最后编辑2005-08-09 16:20:27
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-01 20:20 | 显示全部 短消息 资料
字号: 2楼

引用:
【不点的老公的贴子】SVCH0ST.EXE中的"0"是数字;而不是英文字母。
SVCHOST 和SVCH0ST 用肉眼很难分别唉~~
请问搂住解决办法
...........................

用ICESWORD很容易分辨出来.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-01 23:12 | 显示全部 短消息 资料
字号: 3楼

引用:
【天天泡泡的贴子】

把数字0和字母O输入在记事本中,一目了然
...........................

昨天也有人问这个问题。在任务管理器中确实难以分辨(眼神儿不好者尤甚)。
另外,WINDOWS那个任务管理器还经常被病毒封杀。晕!因此,强烈推荐朋友们下载一个IceSword。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-02 01:49 | 显示全部 短消息 资料
字号: 4楼

引用:
【神无的贴子】请版主帮我看看
0        System Idle Process
4        System
428      C:\WINDOWS\system32\smss.exe
476      C:\WINDOWS\system32\csrss.exe
500      C:\WINDOWS\system32\winlogon.exe
544      C:\WINDOWS\system32\services.exe
556      C:\WINDOWS\system32\lsass.exe
708      C:\WINDOWS\system32\svchost.exe
764      C:\WINDOWS\system32\svchost.exe
832      C:\WINDOWS\system32\svchost.exe
888      C:\WINDOWS\system32\svchost.exe
916      C:\WINDOWS\system32\svchost.exe
936      C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
1000      C:\PROGRAM FILES\RISING\RAV\RavStub.exe
1184      C:\WINDOWS\system32\spoolsv.exe
1412      C:\WINDOWS\explorer.exe
1504      C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
1512      C:\PROGRA~1\RISING\RAV\RAVMON.EXE
1520      C:\WINDOWS\system32\ctfmon.exe
1580      C:\PROGRA~1\SkyNet\Firewall\PFW.exe
2020      E:\工具软件\木马扫描\security suite\ewidoctrl.exe
2032      E:\工具软件\木马扫描\security suite\ewidoguard.exe
156      C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
1760      C:\WINDOWS\system32\alg.exe
2520      C:\Program Files\Internet Explorer\iexplore.exe
2212      C:\WINDOWS\system32\svchost.exe
2180      C:\WINDOWS\system32\taskmgr.exe
3744      E:\工具软件\进程查看器\PrcMgr.exe
有没有中毒?我在C盘搜索到Web这样一个文件夹,在其它盘中没有,是不是也中毒了。
...........................

C:\WINDOWS\下本来就有Web文件夹(正常)。请你看清我说的内容:“在硬盘每个分区的根目录下创建一个名为Web的可执行文件,这个可执行文件的图标是文件夹图标。”。明白?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-02 21:13 | 显示全部 短消息 资料
字号: 5楼

引用:
【水份的贴子】
引用:
【baohe的贴子】
C:\WINDOWS\下本来就有Web文件夹(正常)。请你看清我说的内容:“在硬盘每个分区的根目录下创建一个名为Web的可执行文件,这个可执行文件的图标是文件夹图标。”。明白?
...........................

乍样区别 0和O 在进程里?我实在是分不出来了,急!
...........................

建议用IceSword。一目了然。IceSword是个免费软件,网上可以找到。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-02 21:47 | 显示全部 短消息 资料
字号: 6楼

引用:
【吕望的贴子】有两个问题
1
定位到: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt"=dword:00000001改为:"HideFileExt"=dword:00000000
我发现我的值为“00001000”我一样改了“00000000”
2
我找不到在SYSTEM32下的
sfc2.dll
SVCHOST
两个文件,其他的都删了`
3
不知道是不是我改错了以上的地方,还是心理作用
我重启后,那个病毒是没有了
我发现我机器好卡!~~

...........................

这个病毒可能有变种。如果你删掉的病毒文件还在回收站中,请还原一下,打包传上来。我想看看。到目前为止,我只拿到了一个样本。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-02 22:02 | 显示全部 短消息 资料
字号: 7楼

引用:
【fengfeng14743的贴子】问题是我下载了IceSword,还是看不出来,怎么办,0和O完全是一样的,怎么办,我的进程表里有4个SVCHOST.EXE 文件。用户名不一样,2个是SYSTEM,1个是LOCAL SERVICE ,1个是NETWORK SERVICE
请问斑竹,怎么办,IceSword我不会用,不敢用,我敢肯定我中毒了,
...........................

IceSword1.10版,其进程前都有图标。不可能区分不出来。我就是那么杀的。怎么到你这儿就不行了?奇怪!!除非我和你说的不是一个病毒。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-02 22:36 | 显示全部 短消息 资料
字号: 8楼

引用:
【zspxl的贴子】图表都是一样的。。怎么区分
...........................

在IceSword的进程列表中,两者的图标不一样。我看到的是:系统进程SVCHOST.EXE——可执行文件图标(兰边方块);木马进程SVCH0ST.EXE图标——文件夹图标。一目了然。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-02 22:57 | 显示全部 短消息 资料
字号: 9楼

引用:
【zspxl的贴子】我确定是中了这个病毒。。因为我删除了WEB文件。。下次开几缎额时候还是会出现的。。我在IceSword的进程里只有一个叫services.exe这个是以文件夹图表显示的。。。
但是我的确是中了这个病毒。症状一模一样。。。真不知道该怎么办了
...........................

不奇怪。我在主帖中已经说明了——进程列表中看到的病毒进程不一定是SVCH0ST.EXE,可能是别的。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-02 23:08 | 显示全部 短消息 资料
字号: 10楼

引用:
【zspxl的贴子】我对这个是一窍不通啊。。斑竹。。我该怎么办????
是不是还是按照你的做法。。。只不过病毒不是你说的那个,,而是我刚才的这个services.exe?不知道对不对?
...........................

你最好用IceSword结束那个图标为文件夹的services.exe进程,然后按路径,自己找到这个病毒文件,先打包,后删除。将打好的包作为回帖的附件传上来,我看看。没拿到样本前,我说什么也是瞎说。病毒是有变种的。过去的经验不一定适用于现在,但有一定参考价值。就这么回事。要想得到针对你自己问题的回答,最好就是提供自己的病毒样本——.exe文件。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT