1   1  /  1  页   跳转

To:BaoHe斑竹`

To:BaoHe斑竹`

baohe,你好,我在a-v中国样本区提取了win32.rootkit.h样本。
自己操作少,手生,现在问题来了,有空麻烦帮忙解答一下哦.

1.运行样本后,系统没明显异常表现(XPSP2).%system%搜寻sysmon32.exe与msderitx.sys,无果.运行后提示无权限访问,如图1.

2.对应注册表
    HKLM\SYSTEM\CONTROLSET001\下没找到msderictx项.
    HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogon\下没发现"shell=explorer.exe sysmon32.exe"
    却是在其他处发现健值.如图2.

3.IceSword中也没sysmon32进程存在,但是SSM又提示启动后监视过程中都发现有项目改动,如图3.

4.卡巴扫后没毒.

以上这些是在关了杀软,但开着SSM,和Tiny Firewall下进行的,是否以为拦截成功?这些都是怎么回事啊? 注册表内搜寻到的删?  应该做些什么?
最后编辑2005-09-20 20:16:22
分享到:
gototop
 

图一:
提示:windows无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 18:10:51
描述:



gototop
 

图二:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 18:11:31
描述:



gototop
 

图三:SSM监视的

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 18:12:23
描述:



gototop
 

【回复“baohe”的帖子】
是的。
地址:http://www.anti-vir.cn/bbs/read.php?tid=339&fpage=1
gototop
 

哦,这样啊。汗。。SSM和Tiny Firewall今天刚下,
运行病毒前后是否应关闭墙和杀软,
gototop
 

操作期间用冰刃(1.12版)也提示过初始服务失败,确定后才能运行。检查服务该打开的都开了。这是怎么回事呢?
gototop
 

谢谢大大,可是我的除了SSM监视到外,其他好象还没发现。
卡巴解压后也是报的,断网关闭卡巴运行样本后(最后全盘扫后也没发现)。
冰刃里禁止了进线程插入和协件功能,后没有发现目标进程。
SSM不知道操作,现在目标被它拦做了,自己也得做点什么吧?
您的第一个帖图是什么啊? 我这个没有。
gototop
 

OK,我在检查一遍。
gototop
 

现在除了注册表残余的(上帖图)要清理的话,
IceSword里边一直没。
问题是,照您最后这个帖图,里的操作(二次选中并二次F2后)没反映。
直接没一个记录选中按F2(或快捷单的阻止),第一个记录提示:错误。(见本帖帖图),其他的没反映(F2)。
是不是我太苯了?
可以选择左下角的“清楚列表”吧?

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-20 19:08:37
描述:



gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT