遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(二)

最新推荐文章于 2024-08-19 13:32:03 发布
最新推荐文章于 2024-08-19 13:32:03 发布
阅读量126 收藏
点赞数
文章标签: 操作系统 shell

endurer 原创

2006-06-20 第1

(续)
这一部分说一下分析过程。

1、看瑞星的 开机自动扫描记录:
=====================
病毒名称 处理结果 发现日期 路径文件病毒来源
Trojan.PSW.Agent.adw 清除成功 2006-07-18 15:17 svhost32.exe>>C:/PROGRA~1/svhost32.exe 本机
Trojan.PSW.ZhengTu.cc 清除成功 2006-07-18 15:17 1.exe>>C:/WINDOWS/system32/1.exe 本机
Trojan.PSW.Agent.adw 清除成功 2006-07-19 08:25 svhost32.exe>>C:/PROGRA~1/svhost32.exe 本机
Trojan.PSW.ZhengTu.cc 清除成功 2006-07-19 08:25 1.exe>>C:/WINDOWS/system32/1.exe 本机
Trojan.PSW.ZhengTu.cc 清除成功 2006-07-19 08:25 1.exe>>C:/WINDOWS/System32/1.exe 本机
Trojan.PSW.ZhengTu.cc 清除成功 2006-07-19 11:20 1.exe>>C:/WINDOWS/system32/1.exe 本机
Trojan.PSW.Agent.adw 清除成功 2006-07-19 11:20 svhost32.exe>>C:/PROGRA~1/svhost32.exe 本机
Trojan.PSW.Agent.adw 清除成功 2006-07-19 15:24 svhost32.exe>>C:/PROGRA~1/svhost32.exe 本机
Trojan.PSW.ZhengTu.cc 清除成功 2006-07-19 15:24 1.exe>>C:/WINDOWS/system32/1.exe 本机
Trojan.PSW.Agent.adw 清除成功 2006-07-19 19:58 svhost32.exe>>C:/PROGRA~1/svhost32.exe 本机
Trojan.PSW.ZhengTu.cc 清除成功 2006-07-19 19:58 1.exe>>C:/WINDOWS/system32/1.exe 本机
Trojan.DL.Direct.h 清除成功 2006-07-19 19:58 0.exe>>C:/WINDOWS/System32/0.exe 本机
Trojan.PSW.ZhengTu.cc 清除成功 2006-07-19 19:58 1.exe>>C:/WINDOWS/System32/1.exe 本机
Trojan.PSW.Agent.adw 清除成功 2006-07-19 22:38 svhost32.exe>>C:/PROGRA~1/svhost32.exe 本机
Trojan.PSW.ZhengTu.cc 清除成功 2006-07-19 22:38 1.exe>>C:/WINDOWS/system32/1.exe 本机

2、用瑞星手动扫描C盘,19日晚上的扫描记录如下:
=====================
Trojan.PSW.Lmir.kgs 删除成功 2006-07-19 23:05 C:/WINDOWS/Q54414.LOG 本机
Trojan.PSW.Lmir.kgs 删除成功 2006-07-19 23:05 C:/WINDOWS/Q62539.LOG 本机
Trojan.PSW.Lmir.kgs 删除成功 2006-07-19 23:05 C:/WINDOWS/KB684745M.LOG 本机
Trojan.PSW.JHOnline.epp 删除成功 2006-07-19 22:56 C:/WINDOWS/system32/2.dll 本机
Trojan.DL.Direct.h 删除成功 2006-07-19 22:56 C:/WINDOWS/system32/WinExec.exe 本机
Trojan.DL.Direct.h 删除成功 2006-07-19 22:56 C:/WINDOWS/system32/2.exe 本机
Trojan.DL.Direct.h 删除成功 2006-07-19 22:55 C:/WINDOWS/system32/0.exe 本机
Trojan.DL.Direct.h 删除成功 2006-07-19 22:55 C:/WINDOWS/system32/1.exe 本机

3、用HijackThis来分析。
运行HijackThis.exe,虽然可以在任务管理器里看到进程,但没有显示窗口!
运行procview.exe,结果相同!同时发现系统生成了一个名为创建一个名为 ViDll.Dll,大小为 25,600字节 的文件。因为procview.exe在一个单独的文件夹里,所以很容易发现。
认真一看,procview.exe的长度近20KB,正常的话,应该是10多KB,而且图标显得比较粗糙……

看来系统中了感染EXE文件的病毒!

http://endurer.ys168.com,重新下载HijackThis、procview 和 IceSword。

覆盖掉原有的文件后,HijackThis可以正常运行了:

3.1 在HijackThis扫描的log中的发现如下可疑项目:
======================================

Logfile of HijackThis v1.99.1
Scan saved at 9:41:44, on 2006-7-20
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

C:/WINDOWS/SMSS.EXE

F2 - REG:system.ini: Shell=Explorer.exe 1
F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe

O4 - HKLM/../Run: [RavUptyes] C:/WINDOWS/System32/ravseidll.exe

O4 - HKLM/../Run: [WinSvc] C:/WINDOWS/System32/WinSvc.exe
O4 - HKLM/../Run: [TProgram] C:/WINDOWS/SMSS.EXE
O4 - HKLM/../Run: [SVCH0ST] C:/WINDOWS/System32/SVCH0ST.exe
O4 - HKLM/../RunServices: [TProgram] C:/WINDOWS/SMSS.EXE

O20 - AppInit_DLLs: KB684745M.LOG


3.2 由于Trojan.PSW.Lmir有修改EXE文件关联的情况,所以用HijackThis扫描了startuplist.txt,发现的可疑项目有:
======================================

Autorun entries from Registry:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run

TProgram = C:/WINDOWS/SMSS.EXE
SVCH0ST = C:/WINDOWS/System32/SVCH0ST.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices

TProgram = C:/WINDOWS/SMSS.EXE

--------------------------------------------------

File association entry for .EXE:
HKEY_CLASSES_ROOT/winfiles/shell/open/command

(Default) = C:/WINDOWS/ExERoute.exe "%1" %*

--------------------------------------------------

Load/Run keys from C:/WINDOWS/WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM/../Windows NT/CurrentVersion/Windows: AppInit_DLLs=KB684745M.LOG

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:/WINDOWS/KB684745M.LOG||C:/WINDOWS/Q36155.LOG

--------------------------------------------------
可见EXE文件被关联到 C:/WINDOWS/ExERoute.exe,并且使用了winint.ini 这个文件来实现下次启动时的操作。

iteye_6637
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
viking-sudo-rm.github.io:雨果部署的个人网站
05-10
雨果将自动生成此处的内容。
iOS游戏应用源代码——twcrone-space-viking-ios-260046d.zip
07-05
《iOS游戏应用源代码分析——基于"twcrone-space-viking-ios-260046d.zip"》 在iOS开发领域,源代码是理解应用程序工作原理的关键。本篇文章将深入探讨名为"twcrone-space-viking-ios-260046d.zip"的压缩包中的游戏...
遭遇Viking/威金变种Trojan-PSW.Win32.WOW.do等(三)
Purpleendurer@CSDN
07-21 2275
endurer 原创2006-07-21 第1版这一部分回忆一下修复过程。重启电脑,按F8键,选择以安全模式启动,不料出错:-------------因为以下文件的损失或者丢失,Windows无法启动/system32/ntoskrnl.exe请重安装以上文件的拷贝。-------------但正常模式可以启动。用瑞星注册修复工具修复EXE文件关联用procview终
遭遇Viking/威金变种Trojan-PSW.Win32.WOW.do等(一)
caobihole
07-21 154
endurer 原创2006-07-20 第1版   昨天(7月19日)晚上十点多,一位朋友说这几天他的电脑瑞星开机自检总发现病毒Trojan.PSW.Agent.adw、Trojan.PSW.ZhengTu.cc。 检查后,发现症状与瑞星关于“威金蠕虫”的报告中的描述说的差不多: ------------------------------  病毒会扫描局域网中的所有共享计算机,尝试猜解它...
Python库 | VikingZero-0.1.2-py3-none-any.whl
04-27
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:VikingZero-0.1.2-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
IOS应用源码——twcrone-space-viking-ios-260046d.rar
10-14
《iOS应用源码分析:twcrone-space-viking-ios-260046d》 在iOS开发领域,源码的学习与分析是提升技术能力的重要途径。本篇将深入探讨名为“twcrone-space-viking-ios-260046d”的iOS应用源码,从中提取出关键的...
安全相关-病毒防治-瑞星威金Worm.Viking病毒专杀工具 v1.6.zip
09-15
【标题】"安全相关-病毒防治-瑞星威金Worm.Viking病毒专杀工具 v1.6.zip" 涉及的是一个专门针对威金(Worm.Viking)病毒的清除工具,由知名安全软件厂商瑞星开发。威金病毒是一种广泛传播的计算机蠕虫病毒,对网络...
进程间通信 ---共享内存
BUG制造机的博客
08-14 1130
在这篇文章中向大家介绍了共享内存的原理以及常用的指令函数,希望大家有所收获!😁。
linux安装达梦数据库
最新发布
HAN_789的博客
08-19 110
如果无法创建dmdba 文件夹,需要进入root用户下 在管理员用户下,这种安装方式一般只用于验证,开发,测试,生产最好还是安装传统的方式安装。在 home/dmdba/dmdbms/bin 目录下执行。(1)将文件上传到 /home/dmdba/ 目录下。(2)加压:tar -xzvf dmdb.tar.gz。进入到root就可以创建dmdba 文件夹了。1、后台启动,一般建议用后台启动。
Linux网络设置
Lwc1027的博客
08-18 1194
根据pid查询5、查看端口查看网络配置的几个命令又ifconfig、hostname、route、netstat、ss,可以查看网卡,路由表还有统计信息,可以直接指定查询需要的指令。
EXT4与Btrfs:对比Linux文件系统
w651428055的博客
08-19 677
随着技术的不断发展,Btrfs的稳定性和成熟度有望持续提升,未来在更多场景下,Btrfs可能会成为主流文件系统的首选。它旨在保持EXT3的稳定性,同时引入的功能和改进,如支持更大的文件(可达16TB)和文件系统(可达1EB),以及在线扩展能力。尽管如此,Btrfs的稳定性和成熟度正在不断提高,随着更多用户和企业的测试与反馈,Btrfs正在成为越来越多场景下的可靠选择。作为Linux的默认文件系统,经过了长期的测试和广泛的使用,其稳定性和成熟度得到了广泛认可,是企业级应用和关键任务系统中的首选。
详解Linux命令--zip/unzip
简介
08-14 1035
zip和unzip命令是Linux中最常用的命令之一,用于压缩和解压缩文件。本文将详细介绍zip和unzip命令的用法,并给出具体的示例。
以太网、usb网卡 无法使用,Windows仍在设置此设备的类配置(代码:56)
Don't Look Down的博客
08-19 252
将旧主机赠与,朋友加装usb无线网卡,设备管理器 网卡设备叹号,无法使用。确认不是usb网卡问题。此时以太网 网线还可用,尝试了网络重置,重启后瘫痪,以太网、usb网卡 均错误代码 56
线程状态
weixin_74144099的博客
08-14 512
如果调用了阻塞 API,如 BIO 读写文件,这时该线程实际不会用到 CPU,会导致线程上下文切换,进入阻塞状态,等 BIO 操作完毕,会由操作系统唤醒阻塞的线程,转换至可运行状态。(由于 BIO 导致的线程阻塞,在 Java 里无法区分,仍然认为 是可运行):指该线程已经被创建(与操作系统线程关联),可以由 CPU 调度执行。:表示线程已经执行完毕,生命周期已经结束,不会再转换为其它状态。:仅是在语言层面创建了线程对象,还未与操作系统线程关联。:线程已经被创建,但尚未启动。
Linux系统中安装Maven
weixin_73060959的博客
08-18 811
【代码】Linux系统中安装Maven。
前端工程师如何快速入门鸿蒙开发?
qq_35254085的博客
08-15 329
同时,熟悉鸿蒙开发所使用的语言和工具,如 Java、JavaScript、DevEcoStudio 等,也是必不可少的基础环节。同时,熟悉应用开发的常用组件和 API,如布局组件、网络通信、设备访问等,能够让开发工作更加得心应手。在鸿蒙开发中,应用性能优化和调试技能是确保应用高效运行和稳定性的关键。前端工程师要保持敏锐的洞察力,持续学习技术和趋势,并将其巧妙地应用到自己的项目中,跟上时代的步伐。通过不断地实践和尝试,前端工程师可以深入了解鸿蒙开发的技术细节,积累丰富的经验,从而不断提升自己的开发能力。
那用chart.js为我实现这个功能
06-09
好的,下面是一个使用Chart.js创建一个按比例展示的进度条的示例代码: ... ...<canvas id="myChart"></canvas> ``` Javascript代码: ```javascript // 获取canvas元素 var ctx = document.getElementById('myChart')....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值