有关打开论坛会报毒的测试[中国网管联盟自由风]
[font=Tahoma][color=darkgreen]近期病毒很多,我也给别人帮忙的次数也不少.自己中毒也不少.有的时候在做系统的时候,刚做起来就中了毒.[/color][/font][font=Tahoma][color=#006400]不过觉得很正常.[/color][/font]
[font=Tahoma][color=#006400]现在的互联网是越来越不安全.打开正常的网站都会出现不正常的进程:Logogo.exe,av变种.sysdm.(一个arp的变种)真的是让人不得不佩服,这些病毒的原创.[/color][/font]
[font=Tahoma][color=#006400]不少网友提出,打开论坛会报毒.[/color][/font]
[font=Tahoma][color=#006400]今天晚上从20:00开始,和木木(论坛站长)联合做了一个有关病毒的测试.[/color][/font]
[font=Tahoma][color=#006400]下面把测试的结果和有关的分析给大家说一下..大家共同研究一下.为了论坛和个人电脑的安全,请各位认真读完.[/color][/font]
[font=Tahoma][color=#006400]是几组图片:这里是我用360安全卫士中国网管联盟专用版测试的几组图片:
用:"北信源VRV国家统计局专用版,NOD32 ,Symantec这三组杀软进行各方位查杀,未果.所以,我就不发图了.因为这个过程差不多用了我一个小时的时间,因为本人的时间现在非常有限,所以在这里我就不做过多的分析了:[/color][/font]
[font=Tahoma][color=#006400][attach]60375[/attach]下面[attach]60375[/attach][attach]60376[/attach][/color][/font]
[font=Tahoma][color=#006400][attach]60377[/attach][/color][/font]
[attach]60378[/attach]
[font=Tahoma][color=#006400][/color][/font]
[font=Tahoma][color=#006400][/color][/font]
[font=Tahoma][color=#006400][/color][/font]
[font=Tahoma][color=#006400]提醒各位在上网的时候如果觉得自己的电脑有变化请注意看你的进程:[attach]60379[/attach]这是我的进程情况,不要看我的PF高,我用的是2G的内存:8500GT 512M的显卡和4800+的双核CPU,所以29个进程对它来说太小KISS了...大家请看自己的任务管理器(杀软进程除外)其它的,SMSS.EXE是只有一个.SYSTEM的进程也是只有一个.SVCHOST,正常情况下是有四到六个,根据你优化的情况而定:(进程中SVCHOST.EXE有一个特征,如果是大写,他们全是大写,如果是小写则全是小写,如果你的进程有大写,有小写,那么恭喜,很可能是中招了),下面有我从互联网搜来的资料给大家读一下:[/color][/font][code]
logogo.exe 1_.ii分析
被感染的exe文件用 dr.web cureit 官方中文版修复
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Dr.Web CureIT 4.44
*********************************************************************
来自百度百科:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
*********************************************************************
字串5
终止以下进程:logogo.exe ,1_.ii
使用xdelbox或者wsyscheck删除以下文件:
c:\windows\system\inudhya.dll
c:\windows\system32\ldf252.dll
c:\windows\system\logogo.exe
x::\setup.exe
x:\autorun.inf
2.删除启动项:
<logogo> 字串5
中了logogo的肯定不止以上那些,看看阳光的分析吧。
感染下载者啊!
其实病毒都是利用浏览器的漏洞进行传播,大家在上网的时候最好用Firefox浏览器浏览网页,这种浏览器最大的好处就是安全!
MDM.EXE(Michine Debug Manager)是属于Microsoft Script Editor 的程序文件,主要针对一些应用程序进行除错(Debug)处理,该程序随系统加载后一直处于后台运行状态,通过按Ctrl+Alt+Del组合键可在“关闭程序”对话框中的程序列表中看到。MDM.EXE可经由其他应用程序(如Office 2000)、IE5或Visual Studio等开发工具的安装过程而被带入系统中,而Office 2000正是笔者在几天前刚安装的。上述的临时文件以fff 开头、以tmp为后缀名、名称中含有{}、基本都是 0 字节、都是在MDM.EXE加载执行过程中产生的。
由于MDM.EXE没有在系统关闭前及时清理自身产生的垃圾,以致越积越多。要想彻底“消灭”这些临时文件,最好的办法就是不加载MDM.EXE,不加载的方法有以下三种:
1. 将MDM.EXE更名换姓,或者直接删除(MDM.EXE只是某些应用软件附带的工具程序,删除后不会对Windows系统造成影响)。
2. 在Msconfig.exe程序中将MDM.EXE从启动程序列表中取消。
3. 直接修改注册表项目:打开注册表编辑器,进入
“HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\ RunServices”,删除其中关于MDM.EXE的字符串。
切记:在进行上述操作前,先要按Ctrl+Alt+Del组合键,在“关闭程序”对话框中的程序列表中选择MDM,选择“结束任务” ,终止MDM.EXE的工作。
还有两个问题需要注意,一是通过安装其他应用程序(多为开发类应用程序),MDM.EXE有可能会再次带入系统中;二是如无需要,最好在“Internet属性”的“高级”标签中勾选“浏览——禁止脚本调试”选项,这样,在使用IE浏览器时就可避免执行MDM.EXE进行web页脚本调试。
11月13日,江民快速反病毒小组最新监测到,一种会从指定网站下载木马程序的新病毒(TROJ/INOR.B),正通过邮件附件的方式在网上传播扩散。
江民反病毒专家指出,此病毒为一木马程序,是TROJ/INOR.A的变种,并且TROJ/INOR.A也会从指定的网站上下载一个木马程序,它们之间最主要的差别就是它们是从不同的站点下载文件,而且感染系统时,增加不同的注册表键值。
该病毒从指定网站下载下来COUNTER文件,并把它保存为两个不同的文件(OUTPUT.EXE、MSREXE.EXE)分别保存在当前文件夹和系统目录中,然后开始执行这些文件,向注册表中添加键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
inr\pzeoMm6erZrondFQ = <木马程序的完整路径>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
System Service = "%system%\MSREXE.EXE"。
另外在成功下载了文件COUNTER后,此病毒还会创建下面的键值HKEY_CLASSES_ROOT\.inr\pzeoMm6erZrondFQ \Done(Default) = Done
增加键值HKEY_CLASSES_ROOT\.inr\pzeoMm6erZrondFQ,Time =<用十六进制表示的木马下载文件所用的时间>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Welcome
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Swartax,ImagePath=%system%\\MSREXE.EXE
江民提醒用户,及时升级更新KV3000病毒库,使用最新版本的KV3000杀毒王就可对此病毒进行有效地前杀和清除。
已感染此病毒的用户,具体清除方法如下:
1.按CTR+ALT+DEL打开任务管理器,从列表中选择木马程序进程,然后点击[结束进程]或[结束任务]
2.打开注册表
定位到HKEY_CLASSES_ROOT>删除键.inr
定位到HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,删除项Welcome
定位到HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services,删除键Swartax[/code]
[color=green]所以在这里大家要注意的是:[/color]
[color=#008000]现在的病毒有的时候是通过IE,(当自己在某个网站或者说某天中了毒)当你打开IE的时候木马会通过IE自动下载到你的电脑会让你的电脑越来越慢.[/color]
[color=#008000]SLOW SLOWER SLOWEST .....[/color]
[color=#008000]当你觉得电脑不正常的时候请注意查看自己的进程.注册表里相关的启动项:[/color]
[color=#008000]自由风在这里给大家分析一下注册表里常规的十五个启动位置:[/color]
[color=#008000]path1=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
path2=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
path3=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
path4=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
path5=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
path6=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
path7=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
path8=HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
path9=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
path10=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
path11=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
path12=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
path13=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
path14=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
path15=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx [/color]
[color=#008000]自由风在这里提示大家,用电脑请养成良好的习惯:及时做完整的备份和清理系统缓存以及IE的COOKIES.[/color]
[color=#008000]请善用360安全卫士:[/color]
[color=#008000]这里有Bitscn自由风版论坛上有下载,如果有要的请PM俊俊,或请俊俊在论坛上发一个链接(谢谢)[/color]
[color=#008000]如果你非电脑熟手.对系统不太熟悉,建议安装杀软.[/color]
[color=#008000]最后自由风提示大家,今天我做的将近两个小时的测试,发现[url=http://www.bitscn.com]http://www.bitscn.com[/url] &[url]http://bbs.bitscn.com[/url]两站没有报毒,无弹出.无插件.无木马,无病毒.这是我个人的测试,如果大家有相关的证据请发上来研究,当然小木也在努力为了论坛做出各项的测试及调整.为了给各位打造一个良好的论坛环境.当你打开IE如果有异常:请确认是IE出了问题还是我们天天接近的论坛有异常.是木马接近了我们的论坛.还是我们的论坛被挂载@Q%!##$^$&.请中国网管联盟200000网友,及来自[url]WWW.世界百万华人.com[/url] /org /net /cn 各位朋友明查.和协助.谢谢:[/color]
[color=#008000]中国网管联盟自由风:2007.11.23[/color]
[[i] 本帖最后由 自由风 于 2007-11-23 21:37 编辑 [/i]] 此帖只是个人的测试,
并不能代表所有登录论坛的人.
为了论坛和各位有个良好的上网环境.
敬请各位指教.
页:
[1]