endurer 原创
2007-04-01 第2版 补充了Kasersky对一些可疑文件的反应
2007-04-01 第1版
前两天,一位网友的电脑的瑞星报告发现RootKit.Agent.va,文件名为ynqcq.sys,但清除不了,又使用一个木马查杀软件发现有广告程序,因为是未注册,无法清除。
瑞星的登录前扫描对付rootkit是不错的,可惜这位网友使用了自动登录Windows……
用 pe_xscan 扫描日志,发现如下可疑项(有了分析网页,效率提高了很多):
/---
pe_xscan 07-03-17 by Purple Endurer
2007-3-29 15:17:54
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/System32/svchost.exe * 916 | 2005-8-14 5:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
c:/progra~1/common~1/lgqmidb/lgqmidb.dll | 2007-3-25 15:2:31 | | 2, 8, 0, 1 | | | 2, 8, 0, 1 | | | |
C:/WINDOWS/Explorer.EXE * 1260 | 2005-8-14 5:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/WINDOWS/system32/wswci.dll
C:/WINDOWS/system32/rundll32.exe * 164 | 2005-8-14 5:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Run a DLL as an App | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | rundll | RUNDLL.EXE
C:/PROGRA~1/nund/xexq.dll | 2007-3-25 14:58:29 | AdDm | 4, 1, 0, 4 | AdDm | Copyright ? 2006 | 4, 1, 0, 4 | | | AdDm | AdDm.exe
C:/PROGRA~1/nund/cjcv.dll | 2007-3-25 14:58:29 | stdvote | 1, 0, 0, 6 | stdvote | Copyright ? 2006 | 1, 0, 0, 6 | | | stdvote | stdvote.dll
C:/WINDOWS/system32/zlglfef.exe * 2068 | 2005-3-25 14:59:0
C:/WINDOWS/system32/zlglfef.exe | 2005-3-25 14:59:0
O4 - HKLM/../Policies/Explorer/Run: [sys41] C:/Program Files/Common Files/d1216.exe
O4 - HKLM/../Policies/Explorer/Run: [sys42] C:/Documents and Settings/NetworkService/Local Settings/History/d16704.exe
O4 - Global Startup: sys41.lnk -> C:/Program Files/Common Files/d1216.exe
O4 - Global Startup: sys42.lnk ->
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/restrictions 存在 IE或Internet选项可能受到限制
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel 存在 IE或Internet选项可能受到限制
O23 - 服务: dump_wmimmc (dump_wmimmc) - C:/WINDOWS/system32/drivers/dump_wmimmc.sys(手动)
O23 - 服务: fgqmcdb () - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/PROGRA~1/COMMON~1/lgqmidb/lgqmidb.dll | 2007-3-25 15:2:31 | | 2, 8, 0, 1 | | | 2, 8, 0, 1 | | | | (自动)
O23 - 服务: ndcia (ndcia) - C:/WINDOWS/system32/drivers/ndcia.sys(自动)
O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | NPF Driver | 3, 0, 0, 18 | NPF Driver - TME extensions | Copyright ? 2003 | 3, 0, 0, 18 | Politecnico di Torino | | NPF + TME | NPF.RC(手动)
O23 - 服务: npkcrypt (npkcrypt) - C:/WINDOWS/system32/qqedit/npkcrypt.sys | 2006-12-7 18:17:18 | nProtect KeyCrypt Driver | 4. 0. 0. 0 | nProtect KeyCrypt Driver | Copyright (C) INCA Internet. 2000-2005 | 2005. 6. 22. 1 | INCA Internet Co., Ltd.| ? | npkcrypt.sys | npkcrypt.sys(自动)
O23 - 服务: NPPTNT2 (NPPTNT2) - C:/WINDOWS/system32/npptNT2.sys | 2005-1-4 17:43:8 | nProtect NPSC Kernel Mode Driver for NT | 2005, 1, 5, 1 | nProtect NPSC Kernel Mode Driver for NT | Copyright ? 2000-2005 INCA Internet | 2005, 1, 5, 1 | INCA Internet Co., Ltd. | nProtect | npptNT2 | npptNT2.sys(手动)
O23 - 服务: pxxzqo84 (pxxzqo84) - System32/DRIVERS/pxxzqo84.sys(禁用)
O23 - 服务: romman (romman) - C:/WINDOWS/system32/drivers/romman.sys(自动)
O23 - 服务: stdio (stdio) - C:/WINDOWS/system32/drivers/stdio.sys | 2007-3-25 16:13:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | stdio Manager Library | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | stdio.DLL | stdio.DLL(自动) Kaspersky 报为 Trojan.Win32.Agent.afb
O23 - 服务: vssl (Std vssl Service) - C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/nund/xexq.dll,Service -s(自动)
O23 - 服务: ynqcq (ynqcq) - System32/DRIVERS/ynqcq.sys(引导)
---/
下载Dr.Web CureIt扫描,只清除了d1216.exe等几个d开的恶意文件。
用IceSword强制删除了ynqcq.sys,stdio.sys及其在注册表中的服务项。
stdio.sys比较牛,改名后又自动恢复为原名,注册表中的服务项在regedit中也删不了。
另一个牛文件是C:/WINDOWS/system32/wswci.dll,Kaspersky 报为 Trojan-Downloader.Win32.Agent.bbb,Windows不存认这个文件存在,连文件时间都无法获取,还好用IceSword复制了一个,传了回来,再强制删除。本来先用IceSword把它从内存中卸载掉更好,不过远程使用IceSword太累了……
在c:/windows/system32下发现了一些可疑文件:realsled.exe(Kaspersky报为not-a-virus:AdWare.Win32.Agent.bs),_ao1.exe(Kaspersky报为Trojan-Downloader.Win32.Agent.bld),baidu.dll,ntdl1.dll(Kaspersky报为not-a-virus:AdWare.Win32.Agent.bs)等可疑文件。
用HijackThis修复,其中O4 - HKLM/../Policies/Explorer/Run这两个是HijackThis 1.99.1不能修复的,可以用瑞星卡卡安全助手来取消。
C:/PROGRA~1/COMMON~1/lgqmidb、C:/PROGRA~1/nund这两个文件夹中的东东很可疑
C:/PROGRA~1/nund/xexq.dll的内部名是AdDm.exe,Ad download and manager(广告下载管理器)?
C:/PROGRA~1/nund/cjcv.dll内部名是stdvote.dll,与广告程序stdstub的一个文件同名……
网友却说是系统备份的东东,没处理……
结果重启电脑后,那个木马查杀软件仍然报告发现广告程序……让网友用IceSword去删除这两个文件夹……
分享到:
相关推荐
最新版本:吾爱破解论坛专版 最近更新:2010年11月30日 支持系统:32位Windows2000 、xp、2003、Vista、2008、Win7操作系统,但不支持64位系统 名称:全称XueTr(类型:Anti Virus and Rookit Tools),简称XT。...
OpenArk是Windows的一个开源反rookit(ARK)工具。 Ark是Anti-Rootkit的缩写,它旨在反转/编程帮助程序,用户也可以在OS中找出隐藏的恶意软件。 将来将支持越来越强大的功能。 特征 进程-进程/线程/模块/句柄/内存/...
#下面是第四部分,主要对网络、系统端口、系统启动文件、系统用户和组配置、SSH配置、文件系统等进行检测 Checking the network... Performing checks on the network ports Checking for backdoor ports [ None ...
关于在利用操作系统层次研究rootkits的问题。
RooKit底层技术研究,系统攻防,底层攻防,病毒隐藏
1.使用7Z压缩 ,缩小程序体积,将程序体积控制在50M以内,方便传输 2.添加右键另存功能,右键单击按钮,点击另存为,可保存软件 3.添加托盘图标右键菜单运行程序功能,点击任意模块,最小化后,右击托盘图标,可运行...
1.使用7Z压缩,缩小程序体积,将程序体积控制在50M以内,方便传输 2.添加右键另存功能,右键单击按钮,点击另存为,可保存软件 3.添加托盘图标右键菜单运行程序功能,点击任意模块,最小化后,右击托盘图标,可运行...
反rookit
Rootkit Arsenal - 最后一章,不包括在 Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System, Second Edition
看雪论坛关于Rookit技术的专题,值得收藏。
Rookit简单介绍
网络技术后门工具。检测,比较好的工具。欢迎使用
Hacker Defender ROOKIT木马检测工具源码
带有进程,内核,启动,注册表,文件多项查看功能的完美支持windows7的反人rookit工具
木马检测工具,针对端口扫描等一些比较典型的攻击行为,代码比较简单,适合初学者
文件名: sys_call_table.ko描述:这个 rookit 是为了拦截以下调用而开发的 SYS_WRITE SYS_READ SYS_CREAT SYS_MKDIR SYS_RMDIR SYS_KILL SYS_OPEN SYS_CLOSE SYS_GETDENT SYS_UNLINK SYS_KILL
OpenArk是一个用于Windows的开源 anti-rookit(ARK) 工具, Ark 是 Anti-Rootkit 的缩写,它旨在逆转/编程助手,用户也可以发现隐藏的恶意软件在操作系统
BIOS Rootkit实现分析与检测技术研究 ...作者在写作时的日志资料和相关附件; 完整版本的BIOS Rootkit实现分析与检测技术研究论文; 详细分析了BIOS流程,提出了一种在BIOS中实现ROOTKIT的方法和检测技术.
隐藏文件,注册表,端口,内核的ROOTKIT!-hidden documents, the registry, port, the kernel of ROOTKIT!
无进程 无dll 利用rookit技术隐藏文件。。。