遭遇RootKit.Vanti.kn、Trojan.PSW.JHOnline.eqo、Trojan.PSW.LMir.ktn等

最新推荐文章于 2022-02-25 19:38:17 发布
最新推荐文章于 2022-02-25 19:38:17 发布
阅读量1.7k 收藏
点赞数
分类专栏: 系统安全 系统维护 原创作品 文章标签: c windows manager hex command report
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1069845
版权

endurer 原创
2006-08-16 第1

有一位网友电脑这几天瑞星总报告发现RootKit.Vanti.kn、Trojan.PSW.JHOnline.eqo、Trojan.PSW.LMir.ktn等病毒,请偶帮忙看看。

先运行瑞星注册表修复工具,没有发现被修改的项目。

然后检查瑞星的杀毒历史,打开瑞星注窗口,发现瑞星病毒库还是8月10日的,立即升级。再检查瑞星的定时升级设置,升级频率居然是一个星期,改成每天一次。

瑞星升级完成后,查杀内存、引导区和C盘。

同时到 http://endurer.ys168.com 下载 HijackThis扫描log,未发现可疑项目。

用WinRAR检查c:/、c:/windows、c:/windows/debug,c:/windows/Downloaded Program Files、c:/windows/system32、c:/windows/temp、c:/Documents and Settings/abc/LOCAL Settings/Temp、c:/program files、c:/program files/Internet Explorer、d:/等文件夹,发现可疑文件:

/-------------
c:/windows/Hacker.com.cn.exe
c:/windows/setup1.exe
-------------/

极可能是灰鸽子,打包备份后删除。

瑞星扫描结果如下:
/-------------
RootKit.Vanti.kn  删除成功    2006-08-15 20:44  文件监控  C:/DOCUME~1/abc/LOCALS~1/Temp  ud2aniap.dll
RootKit.Vanti.kn  删除成功    2006-08-15 20:45  文件监控  C:/DOCUME~1/abc/LOCALS~1/Temp  ud2aniap.dll
Trojan.DL.Delf.cop  删除成功    2006-08-15 20:48  文件监控  C:/DOCUME~1/abc/LOCALS~1/Temp  hh.exe
Trojan.PSW.LMir.ktn   删除成功    2006-08-15 20:50  文件监控  C:/DOCUME~1/abc/LOCALS~1/Temp  foxrar.exe
Trojan.PSW.LMir.ktn   删除成功    2006-08-15 20:53  文件监控  C:/Documents and Settings/abc/Local Settings/Temp      Win1A29.exe
Trojan.PSW.WoWar.hq   删除成功    2006-08-15 21:06  文件监控  C:/WINDOWS/SYSTEM32       mywow.dll
Trojan.PSW.ZhengTu.ee   删除成功    2006-08-15 21:06  文件监控  
C:/WINDOWS/SYSTEM32       myztr.dll
Trojan.PSW.JHOnline.eqo     重新启动计算机后删除文件    2006-08-15 21:07  文件监控  C:/WINDOWS/SYSTEM32       SYSTEMA.DLL
Trojan.PSW.JHOnline.eqo     重新启动计算机后删除文件    2006-08-15 21:07  文件监控  C:/WINDOWS/system32       systema.dll
Trojan.PSW.JHOnline.eqo     重新启动计算机后删除文件    2006-08-15 21:07  文件监控  C:/WINDOWS/system32       systema.dll
Trojan.PSW.JHOnline.eqo     重新启动计算机后删除文件    2006-08-15 21:07  文件监控  C:/WINDOWS/system32       systema.dll
Trojan.PSW.JHOnline.eqo     重新启动计算机后删除文件2006-08-15 21:07  文件监控  C:/WINDOWS/system32       systema.dll
Trojan.PSW.WoWar.hq   删除成功    2006-08-15 21:13  文件监控  C:/WINDOWS/system32       Launcher.exe
Trojan.PSW.WoWar.hq   删除成功    2006-08-15 21:13  文件监控  C:/WINDOWS/system32       systemd.exe
Trojan.PSW.ZhengTu.ee       删除成功    2006-08-15 21:13  文件监控  C:/WINDOWS/system32       systemb.exe
Trojan.PSW.JHOnline.eqo     重新启动计算机后删除文件2006-08-15 22:15  文件监控  C:/WINDOWS/system32       systema.dll
-------------/

其中病毒,Trojan.PSW.JHOnline.eqo瑞星无法直接清除。

http://endurer.ys168.com 下载 ProcView 、IceSword 和 Auto_Del。用 ProcView 导出进线列表,发现 C:/WINDOWS/system32/systema.dll 插入了多个进程,用 IceSword 处理了几个进程,感觉速度太慢。

运行Auto_Del.exe,把 C:/WINDOWS/system32/systema.dll 加入待删文件列表,点击“改所有文件名”和“下次启动财删除”按钮。

瑞星的注册表监控会提示Auto_Del.exe要修改注册表,选择“允许”,点击“确定”。

那么 C:/WINDOWS/system32/systema.dll 是如何启动的呢?

使用 HijackThis 扫描生成启动项列表,我们发现:

/--------------------------------------------------
StartupList report, 2006-8-15, 22:18:26
StartupList version: 1.52.2

Enumerating Windows NT/2000/XP services

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:/WINDOWS/system32/systema.dll||C:/WINDOWS/system32/systema.dll.del
--------------------------------------------------/
这应该是瑞星设置用来在重新启动计算机后删除文件的。

打开注册表编辑器,搜索“systema.dll”,发现四处:

1、
/****************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT/CLSID/{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}/InProcServer32]
@="C://WINDOWS//system32//systema.dll"
"ThreadingModel"="Apartment"
****************/

2、
/****************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}/InProcServer32]
@="C://WINDOWS//system32//systema.dll"
"ThreadingModel"="Apartment"
****************/

3、
/****************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager]

"PendingFileRenameOperations"=hex(7):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,/
  57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,/
  00,6d,00,33,00,32,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,61,00,2e,00,/
  64,00,6c,00,6c,00,00,00,00,00,5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,/
  00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,/
  6d,00,33,00,32,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,61,00,2e,00,64,/
  00,6c,00,6c,00,2e,00,64,00,65,00,6c,00,00,00,00,00,00,00
****************/

4、
/****************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager]

"PendingFileRenameOperations"=hex(7):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,/
  57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,/
  00,6d,00,33,00,32,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,61,00,2e,00,/
  64,00,6c,00,6c,00,00,00,00,00,5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,/
  00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,/
  6d,00,33,00,32,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,61,00,2e,00,64,/
  00,6c,00,6c,00,2e,00,64,00,65,00,6c,00,00,00,00,00,00,00
****************/

其中1、2是systema.dll的借以启动的,而3、4是瑞星用来在重新启动计算机后删除文件的。 

紫郢剑侠
关注
专栏目录
Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等2
Purpleendurer@CSDN
09-12 2961
Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等2 endurer 原创2008-09-12 第1版 (续1)从pe_xscan的 log 生成日期可以发现电脑系统日期被修改到2000年了 先到 http://purpleendurer.ys168.com 下载 bat_do 和 Fi
Win64.Rootkit.Agent.Stso内核级木马
Z_shuaishuai的博客
07-22 4022
腾讯电脑管家好像处理不了,重启5.6次还是有,直接进文件位置自己删了,玩了一晚上游戏,复查,就没有了;今早也看了一遍,也没有。 一直重启屁用没有,不如我自己动手。 昨天下午逛B站,逛着逛着,诶,视频没声了,然后QQ能用,就是网页不能连,将近差不多5分钟吧,然后就感觉有猫腻。就用腾讯管家扫了一遍。tm内核级木马,看见的时候给我吓傻了,这玩意可不是说笑的哈,卡巴斯基俺一个极度抠门的又没买,盗版的也没弄,就有一个腾讯电脑管家和win10自带的。 一个星期前自行照着B乎还是CSDN上面文章升级的w..
内核木马:Win32.Rootkit.Rogue.Tzim查杀
CSDN1887的博客
09-19 3359
今天发现win8下存在Win32.Rootkit.Rogue.Tzim内核木马.常规使用QQ管家查出来的,以为杀了重启就好了,结果一次次被检出. 切换到win8安全模式,使用QQ急救箱查杀,杀了后,正常重启.还是被QQ管家检出. 然后换其他比如贝壳木马查杀,卡巴斯基的木马查杀,连病毒都没检出. 最后使用金山顽固病毒木马查杀,结果删除了.重启后QQ管家也没没检出. 虽然此软件说明不支持win8,但还...
Win32.Rootkit.Lapka.Wozw 木马病毒分析
DeathMemory的专栏
05-15 1915
By: DeathMemory QQ: 123951548 Win32.Rootkit.Lapka.Wozw 木马病毒分析 前言病毒执行流程 整体流程监控服务 代码还原 Base64 加密处理自删除完整流程系统信息收集 前言 近期简单分析了一个下载者+DDos的病毒,还原了一些代码,把大家感兴趣的部分分享出来,仅供学习研究。
Unix.Trojan.DDoS_XOR-1 清理办法
大树叶 技术专栏
05-16 1265
处理过程-删除病毒:1、安装 clamav软件方式一: 推荐yum 安装。添加EPEL源,通过yum安装clamav并更新病毒库 yum install yum install clamav && freshclamclamav是一个开源的病毒库查杀工具,能识别病毒,但查杀能力极为有限,只能在扫描期删除病毒文件,对拥有进程监控和自我复制的病毒无能为力。根目录扫描,确定受影响的文件和...
遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等2
Purpleendurer@CSDN
03-20 3920
遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等2endurer 原创2008-03-20 第1版(结:遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等1)先到 http:
遭遇rootkit.win32.vanti.bq病毒
海阔天空
04-24 2839
    我电脑的系统是XP。今天刚开机,卡巴斯基反病毒软件就报告发现C盘Windows/Temp目录下的Val.dll文件感染rootkit.win32.vanti.bq病毒。选择“删除”,卡巴斯基提示删除不了。想打开IE查找一下这是何方神圣,却发现IE根本不能打开。到朋友的电脑中,在google中输入rootkit.win32.vanti.bq关键字,发现只能找到三条记录,而且相关的还都是韩国网
遭遇RootKit.Win32.GameHack.GEN,Trojan.PSW.Win32.GameOL.GEN,RootKit.Win32.Mnless等2
Purpleendurer@CSDN
03-06 1757
遭遇RootKit.Win32.GameHack.GEN,Trojan.PSW.Win32.GameOL.GEN,RootKit.Win32.Mnless等2endurer 原创2008-03-06 第1版(续:遭遇RootKit.Win32.GameHack.GEN,Trojan.PSW.Win32.GameOL.GEN,RootKit.Win32.Mnless等1)先到 http:
遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等1
Purpleendurer@CSDN
03-19 2210
遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等1endurer 原创2008-03-19 第1版一位网友今天说他的电脑中了QQ盗号木马,按QQ医生的提示重启电脑也不能解决,请偶帮忙清理。下载 pe_xscan 扫描 log 并分析,发现如下可疑项(进程模块中重复的部分有省略):
fu-rootkit.rar
12-20
标题 "fu-rootkit.rar" 暗示我们讨论的主题是关于一种名为 "fu-rootkit" 的RootkitRootkit是一种恶意软件,它隐藏在操作系统中,使得攻击者能够秘密地控制受害者的计算机系统,通常用于持续性渗透和数据窃取。这种...
dll.rar_GameSpider_GameSpider.dll_dll 注入_dll注入_注入dll
09-24
3. 使用Windows Defender的内建反rootkit功能。 4. 开启DEP(数据执行防护)和ASLR(地址空间布局随机化)等安全功能。 5. 对于开发者,可以采用代码签名、白名单机制等来阻止未授权的dll加载。 总结,dll注入是一...
Dr.Web Scanner Portable(大蜘蛛应急杀毒软件)绿色便携版V16.05.2021 | 大蜘蛛杀毒软件下载
05-19
3. **强大扫描引擎**:Dr.Web Scanner Portable配备了先进的反病毒扫描引擎,能够检测和清除各种类型的恶意软件,包括病毒、木马、勒索软件、广告软件、Rootkit等。其病毒库定期更新,确保了对最新威胁的防护能力。 ...
McAfee 迈克菲杀毒软件 v12.1.0.1945
12-07
McAfee即迈克菲,McAfee(迈克菲)是全球最大的安全技术公司迈克菲出品的一款反病毒安全软件,杀毒软件,如今... McAfee(迈克菲)功能特点 借助一流顶尖的防恶意软件保护,远离特洛伊木马程序、病毒、间谍软件、Rootkit
完整版进程隐藏.e.rar
04-03
5. **使用Rootkit技术**:Rootkit是一种深度隐藏的技术,能够修改系统内核,使恶意进程在系统底层层面实现完全隐藏。 6. **改变进程标识符(PID)**:恶意进程可以频繁更改自己的PID,以逃避追踪。 7. **利用系统...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9081
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3611
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7114
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1755
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
RootKit技术揭秘:ObjectHook与信息隐藏策略
"这篇文档是关于RootKit技术的讲解,主要关注的是objecthook的使用,作者combojiang在2008年的文章中分享了从逆向工程机器狗代码中提炼的RootKit实战知识。文中提到了四个关键的技术亮点,包括RootKit如何隐藏自身、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值