“鸡尾酒”疗法对付混合木马的入侵

互联网 | 编辑: 黄蔚 2009-01-21 10:30:00转载 一键看全文

处理思路

处置思路:

以下工具可顺序执行,也可不分先后分别执行。

1.首先尝试急救箱,这是个新工具,病毒经常用来结束安全软件运行的几个方法对急救箱都是无效的,新版本也具备一定的反rootkit能力。

对于不是太复杂的木马入侵,急救箱一次重启就搞定的比例大约为78%。

今天的这个实例急救箱失败了,表现为扫描总也无法完成,扫描中该程序会崩溃掉。

2.急救箱程序崩溃可能是被正在运行的病毒木马干扰,解决这个问题,需要进程管理器。

本实例中,直接运行冰刃失败,显然是被映像劫持。随机改名后运行可以启动,但迅速被关闭。类似安全工具不能直接执行的,改名是最简单的办法。

随便将清理专家的进程管理器改名后运行,发现有system.exe在运行,还有若干个DLL模块被判定为病毒。将这些模块全部选中后结束进程。

3.将sreng随机改名后执行,将分析日志导出为log文件。

在这个日志中发现较多异常

启动项目 引用:

注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

<svchest.exe><C:\WINDOWS\system32\svchest.exe>   [番茄花园]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<HBService32><System.exe>   [N/A]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

<Alcmtr><anymie360.exe>   []

<gem><C:\DOCUME~1\JXSJ~1.WWW\LOCALS~1\Temp\sv1D.tmp>   [File is missing]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<{89240220-D63C-4DCD-9E8D-080C4032ABD8}><C:\WINDOWS\system32\opikgiig.dll>   []

<{59AECB4D-6A81-4A12-B617-363FC1838D58}><C:\WINDOWS\system32\lpaecbkd.dll>   []

<{E89112B1-42FC-46DB-944E-DC4B0A6DBAC5}><C:\WINDOWS\system32\eophhibh.dll>   []

<{176C010A-06E8-4EFD-88A4-03A03328F5BB}><C:\WINDOWS\system32\hnmcghga.dll>   []

<{E99DD30A-62FF-4A0D-8395-88ABF43D8864}><C:\WINDOWS\system32\eppddjga.dll>   []

<{9C21718E-9041-4C25-B5A3-058E29987703}><C:\WINDOWS\system32\pcihnhoe.dll>   []

<{60EE1E55-8AB6-4191-A43A-AF71C840742C}><C:\WINDOWS\system32\mgeehell.dll>   []

<{C66E9790-1597-4A33-AF9B-91F829A47B32}><C:\WINDOWS\system32\cmmepnpg.dll>   []

<{B9DBE372-702A-448F-A440-8D3165184132}><C:\WINDOWS\system32\bpdbejni.dll>   []

<{C1CC2E66-8D80-4B62-85FF-C54DBFED1461}><C:\WINDOWS\system32\chcciemm.dll>   []

<{832F07E4-5271-4C4A-B76A-800E1B6AFE38}><C:\WINDOWS\system32\ojifgnek.dll>   []

<{BB8C0FAF-2104-4FE9-A4B4-18F1F66F612B}><C:\WINDOWS\system32\bbocgfaf.dll>   []

<{1BD89A31-0D8A-4681-BEDA-D12FDC93BC58}><C:\WINDOWS\system32\hbdopajh.dll>   []

<{4C6C420F-215B-44E2-AC09-B4E13915F16B}><C:\WINDOWS\system32\kcmckigf.dll>   []

<{BA07E3C5-7E9C-4B72-9C69-D60E204541E0}><C:\WINDOWS\system32\bagnejcl.dll>   []

<{81E57996-AC4A-465D-9632-5BBB45AF9BE6}><C:\WINDOWS\system32\ohelnppm.dll>   []

<{1ADCE198-C337-4EB1-99B0-46EA76564607}><C:\WINDOWS\system32\hadcehpo.dll>   []

<{5B5257C8-FAC1-42BE-B5E5-F0832AC4BB39}><C:\WINDOWS\system32\lblilnco.dll>   []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

<89240220><C:\WINDOWS\system32\opikgiig.dll>   []

<59AECB4D><C:\WINDOWS\system32\lpaecbkd.dll>   []

<E89112B1><C:\WINDOWS\system32\eophhibh.dll>   []

<176C010A><C:\WINDOWS\system32\hnmcghga.dll>   []

<E99DD30A><C:\WINDOWS\system32\eppddjga.dll>   []

<9C21718E><C:\WINDOWS\system32\pcihnhoe.dll>   []

<60EE1E55><C:\WINDOWS\system32\mgeehell.dll>   []

<C66E9790><C:\WINDOWS\system32\cmmepnpg.dll>   []

<B9DBE372><C:\WINDOWS\system32\bpdbejni.dll>   []

<C1CC2E66><C:\WINDOWS\system32\chcciemm.dll>   []

<832F07E4><C:\WINDOWS\system32\ojifgnek.dll>   []

<BB8C0FAF><C:\WINDOWS\system32\bbocgfaf.dll>   []

<1BD89A31><C:\WINDOWS\system32\hbdopajh.dll>   []

<4C6C420F><C:\WINDOWS\system32\kcmckigf.dll>   []

<BA07E3C5><C:\WINDOWS\system32\bagnejcl.dll>   []

<81E57996><C:\WINDOWS\system32\ohelnppm.dll>   []

<1ADCE198><C:\WINDOWS\system32\hadcehpo.dll>   []

<5B5257C8><C:\WINDOWS\system32\lblilnco.dll>   []服务 引用:

[Provisioning Transaction Service / pangu222][Stopped/Auto Start]

<C:\WINDOWS\system32\sv1F.tmp.exe><(File is missing)>驱动程序 引用:

[msiffei / msiffei][Stopped/Manual Start]

<System32\Drivers\msiffei.sys><N/A>

[Safe Mon 360 / SafeMon0][Running/System Start]

<\??\C:\WINDOWS\system32\D9F7F2BC.dat><N/A>在很多进程中发现病毒模块 引用:

[PID: 664 / wucz][C:\WINDOWS\explorer.exe]   [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_qfe.070613-1311)]

[C:\WINDOWS\system32\opikgiig.dll]   [N/A, ]

[C:\WINDOWS\system32\lpaecbkd.dll]   [N/A, ]

[C:\WINDOWS\system32\eophhibh.dll]   [N/A, ]

[C:\WINDOWS\system32\hnmcghga.dll]   [N/A, ]

[C:\WINDOWS\system32\eppddjga.dll]   [N/A, ]

[C:\WINDOWS\system32\pcihnhoe.dll]   [N/A, ]

[C:\WINDOWS\system32\mgeehell.dll]   [N/A, ]

[C:\WINDOWS\system32\cmmepnpg.dll]   [N/A, ]

[C:\WINDOWS\system32\bpdbejni.dll]   [N/A, ]

[C:\WINDOWS\system32\chcciemm.dll]   [N/A, ]

[C:\WINDOWS\system32\ojifgnek.dll]   [N/A, ]

[C:\WINDOWS\system32\bbocgfaf.dll]   [N/A, ]

[C:\WINDOWS\system32\hbdopajh.dll]   [N/A, ]

[C:\WINDOWS\system32\kcmckigf.dll]   [N/A, ]

[C:\WINDOWS\system32\bagnejcl.dll]   [N/A, ]

[C:\WINDOWS\system32\ohelnppm.dll]   [N/A, ]

[C:\WINDOWS\system32\hadcehpo.dll]   [N/A, ]

[C:\WINDOWS\system32\lblilnco.dll]   [N/A, ]

[C:\WINDOWS\system32\anymie360.dll]   [N/A, ]

[C:\WINDOWS\system32\contmenu.dll]   [N/A, ]HOSTS 文件中有个仿冒QQ主页的虚假网站。 引用:

98.126.33.210          www.qq.com

98.126.33.210          qq.com经检查这个98.126.33.210来自欧洲,估计是黑客抓的一台肉鸡。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 3 页< 上一页123
一键看全文

本文导航

相关阅读

每日精选

点击查看更多

最新快讯

热门文章

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑