瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【SSM实战举例】灭掉Rootkit.Win32.Vanti.e

12   1  /  2  页   跳转

【SSM实战举例】灭掉Rootkit.Win32.Vanti.e

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-19 21:10 | 显示全部 短消息 资料
字号: 1楼

【SSM实战举例】灭掉Rootkit.Win32.Vanti.e



收到网友发来的conn.exe样本。这是个木马,但卡巴斯基今天的病毒库并不报毒。有意思的是,卡巴斯基报conn.exe释放的2l79fw.dll为rootkit木马(图1)。
尝试用SSM杀灭此马。
1、在SSM的“规则”中禁止conn.exe和2l79fw.dll加载(图2)。并将SSM设置为“自动加载”。
2、重启系统。观察SSM的进程列表,发现其中有IE进程(此时,我并没开IE浏览器)。先用SSM暂时禁止IEXPLORE.EXE运行,并结束IEXPLORE.EXE进程(图3)。
3、然后,尝试删除conn.exe和2l79fw.dll。成功(图4)。
4、最后,清理一下注册表:
展开:HKLM\System\CurrentControlSet\Services           
删除:NSLHA(指向C:\WINDOWS\system32\conn.exe)   

图1

附件附件:

下载次数:509
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 21:10:22
描述:
预览信息:EXIF信息



最后编辑2007-04-09 22:02:41
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-19 21:10 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:495
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 21:10:46
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-19 21:11 | 显示全部 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:476
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 21:11:08
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-19 21:11 | 显示全部 短消息 资料
字号: 4楼

图4

附件附件:

下载次数:463
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 21:11:32
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-19 21:13 | 显示全部 短消息 资料
字号: 5楼

注意:最后,别忘了解除SSM对IEXPLORE.EXE的禁止。否则,你的IE就不能运行了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-19 22:12 | 显示全部 短消息 资料
字号: 6楼

引用:
【现在进行时的贴子】当时也开着SSM,如果这个EXE文件自已运行,那SSM是应该有提示的吧.

...........................

如果那个EXE文件自已运行,SSM应该有提示。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-20 09:29 | 显示全部 短消息 资料
字号: 7楼

引用:
【破轮子的贴子】我想看看这个木马,请baohe版主把样本发到我的邮箱adzhujun@gmail.com 非常感谢
...........................

发了
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-20 18:59 | 显示全部 短消息 资料
字号: 8楼

引用:
【艾玛的贴子】killvir@gmail.com

baohe,玛玛也要一份
...........................

请与“破轮子”联系。我没保留这个样本。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-20 21:26 | 显示全部 短消息 资料
字号: 9楼

引用:
【闪电风暴的贴子】 晕啊,SSM最新版(570)在程序控制列表里新加了"驱动控制".导致每次开机时都要把驱动的开启重新询问一遍,好烦人啊~~

...........................

我也用570。没有这个问题。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-21 10:06 | 显示全部 短消息 资料
字号: 10楼

引用:
【独孤豪侠的贴子】呵呵,怎么每一个用SSM的人,多多少少都有点问题,而且问题还都不一样呢?
我用SSM+瑞星的进程管理器(下载卡卡安全助手,安装后就有)杀毒感觉不错,特別是对新手。
...........................

用SSM自身的进程监控器杀进程——没什么问题。
要点是:在SSM的“选项”、“程序”中勾选下面两个复选框(图),并点击“应用选项”。

附件附件:

下载次数:219
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-21 10:06:26
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT