12345   3  /  5  页   跳转

rootkit木马查杀实录

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 14:16 | 显示全部 短消息 资料
字号: 21楼

引用:
【不用金山的贴子】······我看到了  开始我就是在桌面运行的    然后我把整个文件夹剪切到本地磁盘E了  还是打不开啊  为什么啊baohe大哥
...........................

将那个包中的东东解压到一个英文路径下,如:C:\Program Files\。然后再运行,应该可以。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 14:34 | 显示全部 短消息 资料
字号: 22楼

引用:
【Handsome_001的贴子】【回复“misstykita”的帖子】
同感:killbox在普通模式下无法删除时,可以用替换后重启模式删除文件,就可以了。
有时avp无法清除的病毒,也要从启电脑后才能清除。


...........................

实际上,这是一个杀软(或工具软件)与病毒争夺系统控制权的问题。重启,相当于径赛起点的发令枪声;而杀软、工具软件、病毒等程序则相当于参加赛跑的运动员。谁跑得快(启动加载抢先一步),谁就能获胜(获得系统控制权)。本质上就是这么回事。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 14:39 | 显示全部 短消息 资料
字号: 23楼

引用:
【Handsome_001的贴子】
我把edakin.exe打包上传,你检查下是水是病毒、木马什么的。我的avp不报。
...........................

解压密码?我填virus——错。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 16:29 | 显示全部 短消息 资料
字号: 24楼

【回复“Handsome_001”的帖子】
呵呵。解压密码是:1。解开了。恭喜你!你中的就是我用的这个样本!你就“照方抓药”吧。
这个后门的特点之一是——每感染系统一次,.exe的文件名都变化。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 16:31 | 显示全部 短消息 资料
字号: 25楼

【回复“Handsome_001”的帖子】
C:\WINDOWS\SYSTEM\pfewlq.exe这个应该是病毒文件。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 16:39 | 显示全部 短消息 资料
字号: 26楼

【回复“Djchare”的帖子】请认真参考我在本贴贴的那8张图。注意操作环境和操作顺序。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 17:37 | 显示全部 短消息 资料
字号: 27楼

【回复“Handsome_001”的帖子】那个解压密码为“1”的包就是Backdoor.Win32.Irofer.13b04
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 18:02 | 显示全部 短消息 资料
字号: 28楼

【回复“Handsome_001”的帖子】
我试图解包时,忘了关闭卡巴斯基。解包,咔吧就报——Backdoor.Win32.Irofer.13b04。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 23:32 | 显示全部 短消息 资料
字号: 29楼

【回复“花落花又开”的帖子】
谢谢提醒!已经加入前帖。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 23:43 | 显示全部 短消息 资料
字号: 30楼

引用:
【Handsome_001的贴子】
为什么我的avp4.5开始报的是rootkit.win32.agent.l?
打包后,在压缩包里查又是Backdoor.Win32.Irofer.13b04?
而在没有打包前什么都不包。
是不是和这个病毒的壳有关?



...........................

不是。因为那个样本含两个病毒文件。卡巴斯基查毒时,扫到.exe报一个病毒名;扫到.sys文件时,报另一个病毒名。你可以将两个病毒文件解压到一个地方,用卡巴斯基扫一下,看看是不是这么回事。
gototop
 
<<上一主题|下一主题>>
12345   3  /  5  页   跳转
页面顶部
Powered by Discuz!NT