-
-
[旧帖] [注意]鬼影好怕怕,本人不幸中招了 0.00雪花
-
发表于: 2010-8-28 22:07
-
新資料夾.rar
explorer.rar
PPS.rar
scvhost.rar今天本人可能中了传说中的鬼影,不知道是幸还是不幸,中午还在看有关鬼影的贴子,还百度了下,晚上就中招了,感觉有点名副其实了。
不知道有没有分析过鬼影的朋友,大侠帮帮忙,我这里提供点资料。
我真怕处理不干净啊
还好我之前做了引导记录不知道还能用上不,现在就看杀软了,能力有限不会分析啊,看见一片片汇编就头晕。
我先贴点。。。。,还有我新备份的引导记录,希望懂引导的朋友逆一下。谢谢!
先描述下我能看到的。
桌面快捷方面的指向变了。如例:"C:\Program Files\WinPcap\PPStream.exe" "C:\Program Files\WinPcap\迅雷5.lnk"
进程中有nat.exe a.exe 进程达到了40多个。explorer.exe有两个,rundll32.exe,winlogon.exe具体在哪个夹子下不记得了,c:\windows\k\smss.exe自己动运行,在启动里加载了。还有run 1681 NRC 大多在all users\启动 中
run.jsc 如下:
var WSH = new ActiveXObject("WScript.Shell");
var fso = new ActiveXObject("Scripting.FileSystemObject");
if(fso.FileExists("c:\\windows\\k\\smss.exe "))
{
WSH.Run("c:\\windows\\k\\smss.exe ");
}
还有就在C:为外的盘把所有文件夹隐藏起来,另建一个.exe.看起来一样。(不显扩展名和隐藏文件)手动改了后才发现。
注意scvhost.exe
要下载快下,小心中毒。。。
explorer.rar
PPS.rar
scvhost.rar今天本人可能中了传说中的鬼影,不知道是幸还是不幸,中午还在看有关鬼影的贴子,还百度了下,晚上就中招了,感觉有点名副其实了。
不知道有没有分析过鬼影的朋友,大侠帮帮忙,我这里提供点资料。
我真怕处理不干净啊
还好我之前做了引导记录不知道还能用上不,现在就看杀软了,能力有限不会分析啊,看见一片片汇编就头晕。
我先贴点。。。。,还有我新备份的引导记录,希望懂引导的朋友逆一下。谢谢!
先描述下我能看到的。
桌面快捷方面的指向变了。如例:"C:\Program Files\WinPcap\PPStream.exe" "C:\Program Files\WinPcap\迅雷5.lnk"
进程中有nat.exe a.exe 进程达到了40多个。explorer.exe有两个,rundll32.exe,winlogon.exe具体在哪个夹子下不记得了,c:\windows\k\smss.exe自己动运行,在启动里加载了。还有run 1681 NRC 大多在all users\启动 中
run.jsc 如下:
var WSH = new ActiveXObject("WScript.Shell");
var fso = new ActiveXObject("Scripting.FileSystemObject");
if(fso.FileExists("c:\\windows\\k\\smss.exe "))
{
WSH.Run("c:\\windows\\k\\smss.exe ");
}
还有就在C:为外的盘把所有文件夹隐藏起来,另建一个.exe.看起来一样。(不显扩展名和隐藏文件)手动改了后才发现。
注意scvhost.exe
要下载快下,小心中毒。。。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
反病毒组的能做个专杀吗???
 我尽量提供种子。。。 |
|
|
|
|
|
下一个试试
|
|
|
中过此类病毒,和此病毒一样,每个盘所有文件夹全部隐藏,创建了一个文件夹重名的后缀.exe 的文件,重装系统还是有个nat.exe的进程,然后再把C盘格了,再重新装了遍,搞定
|
|
|
还要格式化C盘,那不是要重新来过,
|
|
|
|
|
|
|
|
|
|
|
|
好像不如专杀。 windows 清理助手
|
|
|
|
