【原创】关于恶意驱动木马foxrar.exe的查杀方法★★★★★ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】关于恶意驱动木马foxrar.exe的查杀方法★★★★★

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

【原创】关于恶意驱动木马foxrar.exe的查杀方法★★★★★

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-10 20:30 \| 显示全部短消息资料字号：小中大 1楼【原创】关于恶意驱动木马foxrar.exe的查杀方法★★★★★ 运行木马时，未见任何杀毒软件报毒。木马行为： foxrar.exe 运行后将文件释放到当前用户的临时文件夹内。 C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\winrar.sys C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\so.dll 注册驱动（Autoruns报） HKLM\System\CurrentControlSet\Services + squell1 File not found: C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\winrar.sys 注册成功后自杀????也许有DEBUG技术? 也许采用了先进的隐藏术,ICESWORD都没有看到这个winrar.sys 看来也许真被删除了. 临时解决方法: 用Autoruns修复 HKLM\System\CurrentControlSet\Services + squell1 File not found: C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\winrar.sys 运行REGEDIT,删除: [HKLM\System\controlset00X\squell] //其中X为1-5的数字重启系统后清空临时文件夹. 删除so.dll ------------------ 注:那个Win2998.exe运行后会调用foxrar.exe.一回事. 这个so.dll被释放后好像什么也没有做啊... 这个木马是不是真有DEBUG(反跟踪技术??)请高人回答.... 2006-08-13 19:49:36
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	分享到：

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-10 20:50 \| 显示全部短消息资料字号：小中大 2楼占用
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-10 20:54 \| 显示全部短消息资料字号：小中大 3楼睡觉之前顶一下
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-11 09:14 \| 显示全部短消息资料字号：小中大 4楼中了这个木马的会员快来看..
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-11 09:46 \| 显示全部短消息资料字号：小中大 5楼驱动木马,杀毒软件一般杀不掉的
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-11 10:20 \| 显示全部短消息资料字号：小中大 6楼好奇怪啊..
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-11 10:30 \| 显示全部短消息资料字号：小中大 7楼下面有查杀方面地~~
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-11 10:36 \| 显示全部短消息资料字号：小中大 8楼 Autoruns,一个扫描启动项的小软件,请到我的空间: http://littlecat.ys168.com 下载
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-11 19:55 \| 显示全部短消息资料字号：小中大 9楼 Autoruns扫日志是BlackStone大哥教的.. 不过,请选中options-hide microsoft services后,再扫描日志上来. 否则微软的东西就占了不少,看不清楚
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-11 19:56 \| 显示全部短消息资料字号：小中大 10楼 + windowsx.dllc:\winnt\system32\windowsx.dll 有问题. 另外,貌似你的日志没有帖完呐..
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT