首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]帮忙分析一下病毒残留文件 0.00雪花
发表于: 2010-2-20 22:22 1750

[旧帖] [求助]帮忙分析一下病毒残留文件 0.00雪花

诸葛孔明 活跃值
2010-2-20 22:22
1750
前两天中了一个病毒,估计是一个下载者,眨眼间下载了好多个木马,重启后杀毒软件打不开,后来打开瑞星卡卡上网助手清理恶评插件后能用杀软了,然后重启查杀了好多次才基本上清楚完病毒,现在有一个后遗症是每次开机会启动一个文件夹,就是c盘windows \system32,我用sreng检查一下,貌似没什么启动项,检查hook有问题,好像它hook的不是杀软,详细信息见附件

API HOOK

入口点错误:NtCreateFile (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtCreateProcess (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtCreateProcessEx (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtDeleteFile (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtLoadDriver (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtSetInformationProcess (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:ZwCreateFile (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (7)
诸葛孔明
雪    币: 16
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
那个附件应该不是病毒,没有感染性
2010-2-21 14:15
0
keyword
雪    币: 85
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
大哥你都不敢肯定有没有病毒,我可是不敢下载啊!!!
2010-2-21 14:39
0
macrozhou
雪    币: 101
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
你是怎么中的病毒阿,我发现打开的网站多的时候就比较容易中病毒阿,所以,最好的方式还是不要打开一些乱七八糟的网站才好。
我电脑中毒,一般用杀毒软件搞定,不行就重装系统,呵呵
2010-2-21 14:41
0
Crakme
雪    币: 2190
活跃值: (981)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
老兄啊。你发的那附件里的DLL没啥问题呀。
guard32.dll是COMODO Internet Security(个人防火墙)的文件呀。
防火墙Hook API很正常。
2010-2-21 17:14
0
wuchuanlu
雪    币: 155
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
c:\windows \system32\随开机打开?

也许是什么杀软之类的东西提示你要注意些什么
打开后有否特别标注、提示?
2010-2-21 17:23
0
ufeng
雪    币: 10
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
克隆个虚拟机 里面 使劲运行
2010-2-21 23:40
0
诸葛孔明
雪    币: 16
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
哦,原来是commdo啊。

但是不知道为什么开机就启动system32文件夹,我并没有发现什么启动项啊
2010-2-24 14:58
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//