好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 toolpc 于 2010-10-8 23:13 编辑
几天前。内网突然有个人上网。说密保卡登陆不了。我在诧异。。情况是游戏登陆密保卡的框不显示。但是有字符。。机器系统是优化过的,开机USERINIT做了改路径.SYSTEM下的所有DIREVER文件包都做了最小权限。只给本机ADMIN。心想没事。。但是悲剧发生了。。那人换了机器一上号就2分内。号被洗了。。郁闷。。我BEIKESCAN一下哇靠几十个。。后怕。开机运行里加了BEIKESCAN。EXE没个上网的都扫。就听不停有人叫。。发现个共同点就是那个交换机下只要有一台下面机器所有的都中毒。。文件位置处于拥护TEMP里。明显。不用穿透和在实体文件。。急啊。。查找方法无果。。把几台中毒的先全盘GHO了。早上全体发包做了系统。。晚上准备了下。查资料。跟鬼影的升级版像类STUXNET性质。他大爷。 最后做了下简单处理。现在还在怕。
具体方法。
打开所有隐藏设置C:\Documents and Settings\Administrator>cacls C:\Documents and Settings\Administ
rator\Local Settings\Temp 的TEMP设置权限只能ADMIN管理员读写修改。。这个修改如果你只玩游戏不用解压缩可以连修改都去了。这里全部都是`~开头的TMP后缀病毒名字随机。。C盘产生的也都不固定现杀软都能报。。
C:\Program Files\WINDOWS NT"\HYBERTRMER.EXE这个是病毒下载文件。。作用肯定是NT服务启动了。(家庭拥护当时一定要查看开机启动服务里的项目确定没有D盘开始或者HYBERTRM开的服务项/当然不排除在MBR里改了引导。。当然我没发现此毒有这改MBR的东西。。做个免疫处理。。虽然看到了但是提取了不了他。。后来网上也查到相关资料了。
然后通过资料。删除开始-程序=附件=里的通讯里的C:\Documents and Settings\Administrator\「开始」菜单\程序\附件\通讯\超级终端(网上看的)我机器里根本没。。
。删除根目录的debug.exe cacls.exe EDIT。COM 设置WINLOGON的权限只能ADMIN和SYSTEM这俩用户用。
我在路由里封了俩IP但是由于不确定不敢随便发,等待慢慢查。
权限。就是打开工具栏目-查看。。里的简单共享勾去了后。右键任何一个盘或者文件夹那的安全选项。。点高级。把继承的勾去掉提示就点删除后再高级查找拥护。添加你现在的管理员名字的那个用户。
到此。暂时无见有传染和中毒情况。。随便步骤做的都是很被动和无用的防护。但是还有点用。给大家分享下。。
除超级终端那个程序删除外。还有
| C:\Program Files\Outlook Express这个文件包带文件2一起删除。虽然我不知道什么用但是我发现里面有东西用了。。。 |
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2010-10-8 22:30
