登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

yuanweiyi.net

唯一快长-----------------------------我的女儿是唯一

 
 
 

日志

 
 

搞定1个每5分钟就自动下载病毒文件down.exe的桌面劫持木马

2006-10-22 11:37:15|  分类: 老爸的物语 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

近10多天,只要1上网,诺顿就每隔5分钟报警1次,隔离1个病毒文件down.exe,病毒名称:Trojan.Adclicker,5分钟1次,隔离区几千个隔离文件!!搞得我头大恨不得重装系统,但还是咬咬牙忍忍,不能手刃元凶的话,我心里实在是不舒服。

首先分析,上网才会下载病毒,不上网1点问题没有,肯定与网络有关,所以先用tcpview仔细观察,看到每隔5分钟explorer.exe访问1个211.143.0.247,但是点开explorer.exe看属性又是正确的文件,并且文件日期和版本符合网上公布的explorer的版本。见下图:

搞定1个每5分钟就自动下载病毒文件down.exe的桌面劫持木马 - 唯一 - HTTP://WWW.唯一.NET

在查找这个ip地址,211.143.0.247,好像属于湖南移动的,网上搜了半天,没有结果,一气之下,到net.china.cn,填写了个举报信,举报内容是这个家伙传播病毒,但等了4天,举报中心也没有给我答复,看来是没希望了。。。只能自己再研究研究

再到zhidao上提问,花了我30分开了2个题,居然答案都是让我重装系统。。。晕,看来现在病毒花样实在是多,让大伙儿只能束手就擒了。如果因为病毒就重装系统,那网络正义之气何在????所以我们1定要坚持不懈地与病毒做斗争。

 

昨天又在网上找到1个软件,process explorer,装上了,也没什么效果,放弃。我想,肯定是explorer被劫持了,在系统里面被绑定运行了某个dll或者sys文件。

现在怎样找到这个进程运行时调用的其他文件成了破敌关键所在。。

又找了1个SmitfraudFix,专门对付桌面劫持的,用了1下,看着就别扭,感觉没什么效果。。

后来又找到1个论坛,里面提到1个软件,叫SREng,搜了1下,下载下来运行,扫描,出来1个txt报告,搜索explorer,终于发现1个信息,如下:

[PID: 3664][C:\WINDOWS\explorer.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\CNNIC\Cdn\imaoe.dll]  [CNNIC, 2, 2, 0, 1]
    [C:\Program Files\CNNIC\Cdn\cdnforie.dll]  [CNNIC, 2, 0, 0, 6]
    [C:\Program Files\CNNIC\Cdn\cdndet.dll]  [CNNIC, 2, 4, 0, 3]
    [C:\Program Files\Internet Explorer\PLUGINS\system.sys]  [N/A, N/A]
    [C:\WINDOWS\system32\winkld.dll]  [N/A, N/A]
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll]  [Adobe Systems, Inc., 7.0.0.0]
    [C:\WINDOWS\system32\cdnns.dll]  [CNNIC, 2, 0, 0, 0]
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll]  [Adobe Systems Incorporated, 7.0.7.2006011200]
    [C:\PROGRA~1\FlashGet\jccatch.dll]  [FlashGet, 1, 1, 5, 0]
    [C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll]  [VeriSign, Inc., 4, 2, 1, 0]
    [C:\Program Files\VeriSign\i-Nav\vrsncom_1_0_2.dll]  [VeriSign, Inc., 1, 0, 2, 0]
    [C:\Program Files\VeriSign\i-Nav\xcode_2_0_1.dll]  [VeriSign, Inc., 2, 0, 1, 0]
    [C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.dll]  [Adobe Systems Incorporated, 7.0.8.2006051600]
    [C:\Program Files\Adobe\Acrobat 7.0\Reader\AGM.dll]  [Adobe Systems Incorporated, 4.14.45]
    [C:\Program Files\Adobe\Acrobat 7.0\Reader\CoolType.dll]  [Adobe Systems Incorporated, 5.01.41]
    [C:\Program Files\Adobe\Acrobat 7.0\Reader\BIB.dll]  [Adobe Systems Incorporated, 1.1.18]
    [C:\Program Files\Adobe\Acrobat 7.0\Reader\ACE.dll]  [Adobe Systems Incorporated, 2.07.28]

上面有个公司名称和版本都是N/A的文件,1看就是个木马!

再看其他的进程,每个都被劫持了system.sys,这还得了!!

找到木马文件就好办。

重新启动计算机,进入带命令行模式的安全模式(以最少的进程运行系统),输入regedit,查找system.sys,相关的1且全删。在进入c:\program files\internet explorer\plugins,dir还看不见病毒文件,用attrib -r -a -s -h system.*,再用dir,看到有system.sys和system.jmp,重命名成cao.aab,cao1.aab,完毕,重新启动系统,进入windows,上网观察,再也没跳出病毒报警。

搞定。

把这2个文件提交给sysmantec病毒中心,描述1下现象。

心里的石头落地了,爽,来欣赏几幅美图。。

 

搞定1个每5分钟就自动下载病毒文件down.exe的桌面劫持木马 - 唯一 - HTTP://WWW.唯一.NET

 

搞定1个每5分钟就自动下载病毒文件down.exe的桌面劫持木马 - 唯一 - HTTP://WWW.唯一.NET

  评论这张
 
阅读(61)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018