瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致:“之乎者也”——关于XUHUAN.EXE

1   1  /  1  页   跳转

致:“之乎者也”——关于XUHUAN.EXE

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-14 18:12 | 显示全部 短消息 资料
字号: 1楼

致:“之乎者也”——关于XUHUAN.EXE

1、结束进程

附件附件:

下载次数:307
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-14 18:12:02
描述:
预览信息:EXIF信息



最后编辑2006-09-14 21:10:53
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-14 18:14 | 显示全部 短消息 资料
字号: 2楼

2、删除其服务项。
这是这个后门的厉害之处。服务项是隐藏的。SRENG可以看到,但删除不了(即使是先停止该服务,也是“删除失败”。)
自己到注册表中删除吧。

附件附件:

下载次数:304
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-14 18:14:10
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-14 18:14 | 显示全部 短消息 资料
字号: 3楼

3、删除文件

附件附件:

下载次数:273
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-14 18:14:38
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-14 18:16 | 显示全部 短消息 资料
字号: 4楼

运行时,Tiny还检测到它试图在C:\WINDOWS\Temp下释放两个tmp文件。但重启后并未发现这两个文件。

附件附件:

下载次数:290
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-14 18:16:58
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-14 20:18 | 显示全部 短消息 资料
字号: 5楼

引用:
【之乎者也的贴子】已按照猫叔高招清除了一遍,发现还有个c:\windows\system32\jsdll.dll,在进行完上述步骤后无法删除,重启后才可删除,不知跟xuhuan.exe有没关系,可惜已删除,没有备份。最后用sreng再扫一遍,请帮忙看看还有没毛病,谢谢
………………

c:\windows\system32\jsdll.dll————我这里没有。

附件附件:

下载次数:269
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-14 20:18:29
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-14 20:19 | 显示全部 短消息 资料
字号: 6楼

【回复“之乎者也”的帖子】
日志看不出什么异常
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-14 20:29 | 显示全部 短消息 资料
字号: 7楼

引用:
【之乎者也的贴子】谢谢了,猫叔这么晚还为众多受病毒折磨的弟兄们排忧解难,确实不容易,固然有一份兴趣所在,但更多的是责任心,代表众多需要帮助的菜鸟们感谢你。关于xuhuan.exe,你可以看看http://forum.ikaka.com/topic.asp?board=28&artid=8169595这个帖子,中的毒跟我一样,好像上面就有jsdll.dll(020项),再次感谢!
………………

刚看了一下那个帖子。你说得可能不错。
我估计是“环境不同”所致。
我观察这个xuhuan.exe时,网络是断开的。
待我连接网络,运行这个东东看看。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-14 21:09 | 显示全部 短消息 资料
字号: 8楼

引用:
【之乎者也的贴子】出结果了没,猫叔
………………

再次连网运行XUHUAN.EXE,关闭防火墙,等待3分钟左右——依然没有你说的那个dll。

附件附件:

下载次数:181
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-14 21:09:37
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT