1   1  /  1  页   跳转

Chouying蠕虫与SRENG2.4日志

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-12 15:15 | 显示全部 短消息 资料
字号: 1楼

Chouying蠕虫与SRENG2.4日志

昨天,见到一位求助者的SRENG 2.4日志中没有winlogon和services进程,非常不解。
今天,观察仇鹰蠕虫时发现,中此毒后,SRENG 2.4日志的进程部分(见后)缺少winlogon、lsass和services进程。中此毒后,这是SRENG日志中唯一能看到的异常情况。
仇鹰蠕虫的DLL插入winlogon和services进程;其加载项,SRENG也扫不到(见附图)。
提醒诸位:如果SRENG日志中缺少必有项目时,应该引起警惕。
另:SSM完全可以干掉仇鹰主体(被此毒感染的文件需用杀软收拾)。

附件附件:

下载次数:361
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-12 15:15:42
描述:
预览信息:EXIF信息



最后编辑2007-03-21 10:53:05
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-12 15:16 | 显示全部 短消息 资料
字号: 2楼

中了仇鹰后的SRENG2.4日志(进程部分缺少winlogon、lsass和services进程信息):

2007-03-12,14:43:34

System Repair Engineer 2.4.12.806
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

==================================
正在运行的进程
[PID: 616][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 680][\??\C:\windows\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 184][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\Program Files\Internet Download Manager\IDMIECC.dll]  [Internet Download Manager Corp., Tonec Inc., 1, 0, 2, 1]
    [C:\Program Files\Internet Download Manager\idmmkb.dll]  [N/A, ]
[PID: 664][C:\windows\system32\atiptaxx.exe]  [ATI Technologies, Inc., 6.13.10.2531]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\ATRPUIXX.ENU]  [ATI Technologies, Inc., 6.13.10.2531]
    [C:\windows\system32\atipdsxx.dll]  [ATI Technologies, Inc., 6.13.10.2531]
[PID: 988][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
[PID: 996][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\Program Files\Tiny Firewall Pro\amonres.dll]  [Computer Associates International, Inc., 6.5.1.2]
    [C:\Program Files\Tiny Firewall Pro\FncIDs.dll]  [Computer Associates International, Inc., 6.0.0.1]
    [C:\Program Files\Tiny Firewall Pro\portnums.dll]  [Computer Associates International, Inc., 6.0.0.1]
[PID: 964][C:\Program Files\Tiny Firewall Pro\cfgtool.exe]  [Computer Associates International, Inc., 6.0.0.52]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\Program Files\Tiny Firewall Pro\cfgtoolres.dll]  [Computer Associates International, Inc., 6.0.0.28]
    [C:\Program Files\Common Files\PFShared\Nag.dll]  [Tiny Software, Inc., 6.0.1.22]
    [C:\Program Files\Common Files\PFShared\cfgwi.dll]  [Computer Associates International, Inc., 6.0.0.127]
    [C:\Program Files\Common Files\PFShared\Cfgwires.dll]  [Computer Associates International, Inc., 6.0.0.27]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\PDM.DLL]  [Microsoft Corporation, 7.00.9466]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll]  [Microsoft Corporation, 7.00.9466]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MSDBG2.DLL]  [Microsoft Corporation, 7.00.9466]
    [C:\Program Files\Common Files\Microsoft Shared\INK\PENCHS.DLL]  [Microsoft Corporation, 1.0.1038.0]
    [C:\Program Files\Common Files\PFShared\IfaceCtrl.dll]  [Computer Associates International, Inc., 6.5.3.3]
    [C:\Program Files\Common Files\PFShared\SysObjExp.dll]  [Computer Associates International, Inc., 6.0.0.7]
[PID: 1292][C:\Program Files\Tiny Firewall Pro\tralogan.exe]  [Computer Associates International, Inc., 6.0.0.17]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\msxml4.dll]  [Microsoft Corporation, 4.20.9818.0]
[PID: 1256][C:\Program Files\Opera\Opera.exe]  [Opera Software, 8679]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\Program Files\Opera\Opera.dll]  [Opera Software, 8679]
[PID: 3440][C:\Program Files\SRENG\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]

==================================
相比之下,SRENG 2.3似乎更强些。中毒环境下仍可以扫到插入winlogon和services进程的病毒dll(图)。

附件附件:

下载次数:296
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-12 15:16:42
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-12 16:18 | 显示全部 短消息 资料
字号: 3楼

引用:
【afkp4e7的贴子】猫老大不知Autoruns能不能扫到
………………

扫不到。
另:中此毒后explorer(资源管理器)进程极不稳定,经常报错,自动关闭。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-12 16:28 | 显示全部 短消息 资料
字号: 4楼

引用:
【我是来来的贴子】瑞星能查吗?
………………

据说能查杀。
我的系统中没有杀软,没试过。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-12 16:29 | 显示全部 短消息 资料
字号: 5楼

引用:
【afkp4e7的贴子】


除了ssm不是没别的方法了吧

………………

应该有别的办法。
例如:将病毒主题文件录入Tiny的黑名单。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-12 20:28 | 显示全部 短消息 资料
字号: 6楼

引用:
【高歌猛进的贴子】

2.4版本好象不稳定,偶曾出现过没扫出防火墙进程,试着选自动复制可疑文件,立马出现一个200M的文件夹,杀软防火墙刻录等被一网打尽,在进程分析上还不如2.3的,不知是不是真的进步了
………………

本帖谈到的问题,清除病毒后,SRENG 2.4还是能扫到winlogong、lsass以及services进程的。因此,这类问题似乎不应归咎于SRENG 2.4。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-21 09:54 | 显示全部 短消息 资料
字号: 7楼

引用:
【水树雨下的贴子】winlogong、lsass、services进程扫日志的时候这项打勾也扫不出来
………………

用SRENG 2.3吧。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT