原來的USB病毒的處理原則 請看
http://www.cc.ncu.edu.tw/~w3meng/virus/virus_kavo_taso_ntdelect-ray.txt
To: ncumechair ncume_staff ome
Cc: w3meng tlyeh
Bcc: edu_info_share family0_
lsass smss 網路病毒風暴 立即停止 姆指碟USB自動執行
透過隨身碟 (USB devices) 的 自動執行功能 傳播 已經到達失控的地步
還沒做這樣的動作之前 不要再插入 任何USB儲存裝置
**!! 請 立即停止 自動執行功能 !!** (下面有方法 用 Tweak UI)
(***!!!若已經中毒的 立即拔掉網路線, 否則 你會造成網路癱瘓!! 系館網路全垮!!***)
**!!! 中這個毒 很難解 留意留意 !!!***
***!!! 大一來驗微控作業的 就有毒, 學長中了以後 還除不掉 !!!***
計中諮詢: center12 吳素芬, center5 劉劍青 有軟體可以偵測到中毒亂發封包的MAC
From: center11@ 王雅慈 Thu, 20 Dec 2007 14:14:00 +0800
To: tlyeh@ , 曾主任 tsenglm@
葉老師:
我們針對這個事件, 做了一些網頁連結, 但是動作可能還是沒有老師快.
如果老師願意看看我們的新知識庫. 也希望有老師的參與, 我們的知識庫會更快有所成長.
http://wiki.cc.ncu.edu.tw
http://wiki.cc.ncu.edu.tw/wiki/Lsass_%E6%9C%A8%E9%A6%AC
你可以使用 tlyeh 的帳號進入, 即可編輯. 如果只是 read 不需要 login
----96c21
From: httpd@website.cc.ncu.edu.tw Wed Dec 19 12:22:14 2007
Subject: USB virus - lsass smss
System Network Manager Group (SNMG) Post
Sir/Mam:
最近 USB(lsass smss)病毒橫行, 請各位老師及網管一起協助解決此問題.
請看SNMG公告 https://website.cc.ncu.edu.tw/sysmgr/docs/lsass_smss.html
計中會陸續公告
1. 劉劍青老師的 有關 router端的檢查 網頁link
2. 張維巖老師的 中央大學校園內的中毒機器會有哪些現象 網頁link
3. 計中提供的各類解毒的服務
在此謝謝機械系葉則亮老師提供的資訊.
確定的中毒機器請務必斷線,並格式化所有的硬碟(C/D/E... and USB flush whatever)
Post By 電算中心 張慈敏 center23@
---- end of 96c21
---- 97a11
怎麼掃 notebook 內的病毒碼
推 steven7296:用XPE+防毒軟體或許有機會,隨身碟先封存
--- 症狀
打word常常磁碟不夠不能存檔 ... d: 39.6剩22.9GB c: 19.9gb 用了9.39gb, ...
前兩週 我收outlook一千多封 而且是出不來 或是一封3 copies
這樣 我就請學生關起來outlook
因為有次看到開機時有一千多個程式在跑 這正常嗎
垃圾桶昨天清過 今天還是一樣吧 ...
防毒軟體 裝那個 不知道ㄟ 剛剛掃瞄winxp發現七個風險
我先建議她 一些線上掃瞄
tly: free online virus scan www.kaspersky.com/virusscanner
tly: http://housecall.trendmicro.com/
tly: 學生說 AntiVirus personal free download 的 比較好
tly: www.free-av.de/ 說勝過 pccillin 不過 free版本 不掃 email
我這樣說 正確嗎? 該怎麼做?
tly: 你的電腦有光碟機嗎, fcc: 有
tly: 聽說可以製作 可開機光碟片併且把掃毒軟體放進光碟中
tly: 用這個光碟開機 會是 乾淨的系統, 然後去掃 你的硬碟
...: 我有一片是電腦死了的時候 開機程式部分都還原的那片
...: 今天找到學生遠端處理過了 掃瞄了沒有病毒ㄟ
不過開檔還是慢
只是知道何以不能存檔的原因 似乎開了語言錄音
(不對 仍然發生 整個卡住 剪貼 也不作用)
這是網學博班的幫我弄中山資工的很強的 沒有毒了啦
早上我用檔案總管的掃瞄 程式區掃出七個風險
學生也看到已經隔離過十多個病毒 有些是email來的
tly: 我還是覺得需要先 disable USB autoplay (內有說明),
然後 用 www.kaspersky.com/virusscanner 掃各partition及usb碟
kaspersky 是世界最強最龜毛
tly: http://www.cc.ncu.edu.tw/~w3meng/virus/virus-lsass-smss.htm
內有說明 disable USB autoplay
在做下面這些之前
先做 之前講過的 關閉autoplay,
然後用 kaspersky 線上掃毒 掃過 所有的 partition 及 usb碟,
然後才 關機重開 進入 安全模式 ...
開始 所有程式 附屬應用程式 系統工具 之下有這些選項
{系統資訊 清理磁碟
磁碟重組工具--要先備份資料_重整中會有損壞的風險
_重整前要先scandisk先確認檔案結構的正確
}
磁碟重整 似乎應該進入安全模式執行
否則 系統會一直 更動硬碟的 cache 使得 重整 一直重做 而不會有進展
scandisk: 開始 執行 填入 scandisk 看看有沒有, 我記得應該有,
可是 剛剛在我的nb 上試 卻不行, 說程式不存在.
關機 重開電源後 立即 按鍵 可能要多按幾次
直到 開機模式出現 選單 讓你選擇 進入安全模式
再來選擇 清理磁碟 再來選擇 磁碟重組
--- steven7296 (幫升1.9g寄站內信) Fri Oct 10 22:35:18 2008
∼∼(這個可以亂轉)
--- 關閉 USB 光碟機 的 autoplay
http://www.microsoft.com/taiwan/windowsxp/downloads/powertoys/xppowertoys.mspx
http://www.microsoft.com/taiwan/windowsxp/
downloads/powertoys/xppowertoys.mspx
其中的Tweak UI可以把磁碟機(包含 光碟機 跟 隨身碟)的自動播放功能關閉
以下為XP的經驗 VISTA不保證適用
把左側的"我的電腦-自動播放-磁碟機"
"我的電腦-自動播放-類型"
全部取消打勾即可
--- 開啟 USB 程序 的好習慣
* 開啟隨身碟時,不要直接在磁碟機點2下,
要先按上面的資料夾按鈕 或是 直接按 win鍵+E
讓我的電腦變成檔案總管,在從左側開啟資料夾
* 另外,在隨身碟下建立autorun.inf的資料夾
如果不能建立,請先將autorun.inf的檔案刪除,再建立資料夾
可以以避免隨身碟在自動被執行時,開啟病毒檔案
--- ****NoName Information Team*********************
一、NONAME XPE僅供試用、測試,無販售行為及任何商業利益 ! i
請下載測試後24小時內 將檔案刪除。
二、下載者請勿作商業用途!試用、測試後,
請購買正版並自行製作並立即刪除檔案。
※如果以上兩點您不同意請勿下載,否則一切責任請自負,
與作者及本論壇無關。※
下載後...在你電腦或其他電腦測試後...
請在這個版面http://nonamexpe.duc.cc/viewforum.php?f=5
尋找該版本的測試回報主題...按照內文的格是回覆你測試的結果...
不要嫌麻煩...你測試的結果是很重要的...
這樣NoName才會知道這版本的相容性跟可以改善的方向
假如該版本你測試後...有任何的問題...請在這個版面
http://nonamexpe.duc.cc/viewforum.php?f=19
開新主題說明清楚你的問題點在哪...主題格式和內文請參考這篇主題
http://nonamexpe.duc.cc/viewtopic.php?f=19&t=50
...
---- end of 97a11
大綱
----96c20 #arpguard_exe: lsass smss 在中毒鄰居arp攻擊下過日 arpguard
----96c20 #arpfresh_bat: 一個很笨的 跟 中毒鄰居搶 arp table 的方法 (勉強用)
----96c20 #false_arp: 小心被中毒的PC綁架受騙假網頁 cookie setup.exe
----96c20 #detect: 今日測試報告 wire shark windows defender
----96c19 #virus_ip: 連結網址
----96c20 #infected: lsass smss 你中毒了嗎
---- #info_clean: lsass smss 症狀 影響 與 清毒
*** #no_autoplay: 趕快關閉 自動執行功能 TweakUI autoplay
----96c20 #arpguard_exe: lsass smss 在中毒鄰居arp攻擊下過日 arpguard
多謝petpoku研究 ( http://www.cc.ncu.edu.tw/~w3meng/license_open )
http://www.cc.ncu.edu.tw/~w3meng/virus/virus-lsass-smss.htm#arpguard_exe
有一步一步的指引
裝 大陸發展的 arpguard 可以 讓 arp table 不會隨 假裝的 網卡 亂變
需要先裝 Microsoft Open 的 WinPE library
0) 若 你的電腦的 瀏覽器 已經經常性的 被綁架去顯示 廣告網站,
建議先用 下面的 arpfresh_bat
幫你把 arp table 給搶回來 再往下做,
否則 很可能在下載檔案時 被 誤導到 抓取 病毒的檔案
1) 用 滑鼠左鍵 點擊
http://www.cc.ncu.edu.tw/~w3meng/license_open/WinPcap_4_0.exe,
選擇執行這個程式 , 就可以安裝 , **但是!!
**但是 (注意要確認 瀏覽器真正 抓到的是 那個名字的檔案
以免被的中毒電腦攔截與欺騙)
**若 你的系統裡面已經有舊的 WinPcap 安裝會問 是否繼續安裝
因為 網頁上說 WinCap3.* 就可用, 也許就不需要 繼續裝 4.0版的
2) 下一步 就可以 用滑鼠右鍵 點擊 下面 arpguard.exe 的 連結, 另存新檔 (這樣才能每次開機就自動執行)
http://www.cc.ncu.edu.tw/~w3meng/license_open/arpguard.exe
另存新檔 建議 放在 "c:\program files\" 之下,
然後 開啟 這個子目錄, 來 用 滑鼠左鍵 點擊這個程式檔案 執行它.
這是簡體字程式 在繁體中文環境下看來是亂碼,
不過 程式上方有個長方格 是要用
滑鼠左鍵點選往下箭頭 選擇 正確的 需要 監看的 網路卡裝置.
選定 要檢控的網路裝置後 點 橫框右邊的 方形設定框, 就開始生效
用ftp winscp20 傳檔 可以 很明顯看出 傳輸速率的 提升
2.1) 若希望 每次系統重開機或重新登入 都會自動啟動 arpguard.exe
可以 用 滑鼠右鍵 點擊 arpguard.exe 選複製,
開 "C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動"
用 滑鼠右鍵 點擊 視窗內的空白區 選擇 貼上捷徑, 就會開始有效.
2.2) arpguard 基本上 是偵測 "經常" 換 mac address 卡號 的
就是假的 會把 把 老是換 ip 的卡號 顯示出來,
網管可以 透過 對 switch 設備的架構的知識
及 switch 內的 mac table 記載 哪個 mac 的封包
是從 哪個 port 進入 switch 而可以倒推 上線的 最原始點
因而抓到 中毒電腦 所在 的 辦公室 實驗室
ref: http://www.cc.ncu.edu.tw/~w3meng/utp.shtml
不知下面的 arp entry 是怎麼回事?
115.232.45.20 00-0e-84-3b-e2-00 static
http://www.it86.cc/ IT互動中國
http://www.it86.cc/html/goodsoft/system/20070617/5262.html
http://www.it86.cc/upimg/soft/arpguard.rar
http://arp.enet100.com/update.asp
ARP透視
1、ARP原理 2、ARP欺騙攻擊演示動畫 3、ARP欺騙攻擊的原理
4、arp欺騙的危害 5、ARP欺騙,騙的是什? 6、ARP防範軟件評測
7、傳統的幾種解決ARP問...8、出現ARP欺騙攻擊時的現像...
cnnsc.org 作業安全基地
http://www.cnnsc.org/File/download/anquan/download_5977.html
arpguard(防ARP欺騙程序)
1、全自動,無需用戶輸入任何參數。
2、第一次運行時應確保網絡暢通,網關沒被欺騙。
若已被欺騙,又實在想用,可咨詢網管得到正確的網關MAC,
打開ini文件,自行修改網關MAC(注意轉換成10進制)。
3、可放入啟動中開機自動運行。
4、經測試可有效應對網絡執法官、netcut等工具,
對于網絡執法官等造的IP衝突,可不于理睬,
把提示窗口拖到不礙眼的地方(win2000)即可,不影響上網。
可以顯示攻擊的MAC地址。
5、暫時不支持win98/me,暫時只支持單網卡。
6、程序需要先安裝 winpcap3.0 以上的包支持。
(官方地址:http://www.winpcap.org)
7、本程序無毒、無馬,實乃居家休閑、饋贈親友、討好MM之必備。
歡迎測試和反饋
2006.09.07 發現一個內存泄漏的bug,已更新,
請昨天下過的朋友重新下載arpguard.exe,對大家造成的不便致歉!
2006.09.10 發布支持多網卡的程序:
支持多網卡,每個網卡一套配置,支持連續防護和僅需要時防護兩種模式。
退出程序時自動保存設置(網卡選擇和防護模式),自動恢復本機環境
----96c20 #arpfresh_bat: 一個很笨的 跟 中毒鄰居搶 arp table 的方法 (勉強用)
用 記事本 編輯一個 cmd 指令提示視窗 的 batch 執行檔
http://www.cc.ncu.edu.tw/~w3meng/virus/arpfresh.bat
:again
arp -a
arp -d
arp -s 140.115.%1.254 00-0e-84-3b-e2-00
goto again
其中 %1 應該由 65 66 或 67 取代, 視 該PC的 default gateway IP 而定,
這個值 可以 用 ipconfig /all 指令 來顯示.
這個檔案存檔後 就可以 點選 讓他執行, 要停止 用 按鍵
若 網頁瀏覽器 停住 就 按 refresh 來繼續刺激系統 再去抓網頁資料.
----96c20 #false_arp: 小心被中毒的PC綁架受騙假網頁 cookie setup.exe
推 tlyeh:若系館網段有中毒電腦假冒GW綁架http封包
→ tlyeh: 未中毒的電腦用瀏覽器連外會被假冒的導向
→ tlyeh: 121.15.220.104 222.84.. 61.. 等無名稱網站
→ tlyeh: 或者 奇怪的不是你原來指定的站上的程式檔
→ tlyeh: 如 setup.exe 而不是該有的 tweakUi...setup.exe
→ tlyeh: 這樣它餵給檔就是 病毒的安裝檔,
→ tlyeh: 你若是不查一點下去就中毒
→ tlyeh:所以一定要留意每個連結過程中 上下網址列
→ tlyeh: 在載入網頁過程中所閃爍顯示的檔案的網址
→ tlyeh: 若有發生被連到奇怪的地方 就要警覺內容
→ tlyeh: 有詐, 絕對不可以點下去 做執行 或 存檔
推 tlyeh:還需要設定瀏覽器 讓他回報每一個
→ tlyeh: cookie寫入的動作
→ tlyeh: 在 IE 點選 工具 網際網路選項
→ tlyeh: 隱私權 進階 勾選 覆寫cookie處理
→ tlyeh: 第一方 第三方 cookie 都 勾選 提示,
→ tlyeh: 這樣 要開啟 任何網站 都會
→ tlyeh: 出現對話框 詢問是否允許
----96c20 #detect: 今日測試報告 wire shark windows defender
From: center11@ Thu, 20 Dec 2007 14:21:26 +0800
Subject: Fw: Arp 攻擊自動偵測 這個校內自動偵測, 會放在剛剛的 wiki 網頁上. 您先參考.
From: Jiann-Ching Liu 劉劍青 center5@ Thursday, December 20, 2007 1:46 PM
To: 計中吳素芬 center12@ ; CC_戴組長元任 center24@ ; CC_戴永裕 center31@ ;
CC_劉道光 center2@ ; CC_張維巖 center9@ ; CC_張慈敏 center23@ ; CC_王組長雅慈 center11@ ;
目前不會自動去做鎖的動作, 每十五分鐘檢查
https://uncia.cc.ncu.edu.tw/dormnet/index.php?section=arp_attack
作者 jhk482001 (EJ~~~~~~) Wed Dec 19 23:52:03 2007 看板 MENG
標題 [討論] 2007/12/19今日測試報告
今日測試報告
使用 wire shark (類似sniffer pro的軟體)偵測不正確的arp封包
測試結果 :
a. 蟲學長偵測封包的時候發現某一ip擁有兩個網路卡號
處理行動 : 斷其網段,網路正常後已恢復
b. 持續增測上層網段,沒有取得異常封包
目前狀態 : 針對全系館網路進行異常封包監聽
注意事項 : 機房小房間內現在網路線四佈,請網管出入小心
c. 測試過程中,308server的NAT設定不幸掛點(21:00)
處理行動 :
1. 將原本的server 設定用於監聽封包 ip為140.115.65.30
2. 換上備用server 設定IP為 140.115.67.87 (23:37)
d. 308所有電腦皆已中毒,請網管學弟擇時重ghost
"(注意期末將至)"
e. 部分整理線路有機會接觸不良,若發現有問題網管可以先查線檢查
f. 近期如有課堂需使用電腦教室,登入方式為
使用者名稱 : ncumenet
密碼 : 無
網域 : 本機登入
"或者網管將電腦重新加入網域"
本文章內有"需商確內容..."轉到公開板前可先討論在決定哪些要轉
→ tlyeh: 劉劍青老師 是用 router 的 arp table統計
→ tlyeh: 通過GW的封包對應的 某個MAC(網卡號)對應幾個不同的IP數
→ tlyeh: 找出對應數最多的 就可能是
→ tlyeh: 騙到一堆PC誤認其卡為GW卡
→ tlyeh: 而請他代轉封包的中毒電腦的卡號
→ tlyeh: 學校的 router對任何一個系網段 (?宿網) 的卡號都一樣
→ tlyeh: 是 00-0e-84-3b-e2-00 , 若出現 其他的對應 就是騙的
→ tlyeh: 中毒PC會聽所有的封包,
→ tlyeh: 而用unicast arp對個別pc及gw做欺騙
→ tlyeh: 因此 正常情況下 (除非用sniffer類型的軟體 監聽所有封包)
→ tlyeh: 被騙到的PC以外的PC 的 arp -a 不會出現 不正常的
→ tlyeh: .6*.254 對應到 中毒電腦卡號 的 資料
→ tlyeh:
→ tlyeh: 劉老師還建議用 windows defender (vista內建 正版xp可下載)
→ tlyeh: 可以很清楚的監看本機有哪些程式 版權 在使用的資源...
作者 tlyeh (aliang) Thu Dec 20 11:51:21 2007 看板 MeNetManager
標題 lsass smss 今早9:50再度作亂 誰這時打開電腦
lsass smss 今早9:50再度作亂 誰這時打開電腦 請趕快與網管/系辦姝恬小姐 聯繫
你的電腦可能中了 使系館網路癱瘓的 病毒
不要害你的實驗室被斷線處罰ㄚ
昨晚半夜到早上 一夜平靜, 網管昨晚費心抓 中毒電腦 大概沒捉到這隻
好命可以回家睡覺的主人
早上 9:50起 又出來作亂 (真是好命ㄚ 睡到自然醒)
請大家告訴大家 自我檢查 這個病毒 很要命ㄚ
p.s. 請網管公告 抓毒績效 請 中毒的使用者 回覆 如何中的毒
待續 1) 如何在 有毒的鄰居的攻擊下 過日子 做 正經事 如何發現中毒電腦的網卡號
2) 如何檢查自己的電腦是否中毒 如何預防中毒
3) 已經中毒的 該怎麼辦
(至少讓 毒不會 在 開機時就被載入,但仍清不乾淨 無法修復 registry)
----96c19 #virus_ip: 連結網址
--arp -a
140.115.1.254 GW 00-50-ba-24-df-e0 dynamic
140.115.66.254 GW 00-0e-84-3b-e2-00 dynamic
140.115.65.20 00-01-e6-51-af-cf dynamic
140.115.65.95 00-13-d4-df-d1-cb dynamic
140.115.65.96 00-0f-fe-59-f3-8f dynamic
140.115.65.97 00-16-e6-54-8f-03 dynamic
140.115.65.107 00-0f-ea-5e-a3-08 dynamic
140.115.65.107 00-0f-ea-5e-a3-08 dynamic
140.115.66.226 00-11-d8-20-8e-73 dynamic
140.115.66.227 00-18-f3-75-91-4c dynamic
--netstat -a
TCP tlyw3v1:1335 222.84.225.20:http TIME_WAIT nslookup server failed
TCP tlyw3v1:1343 219.129.239.155:http ESTABLISHED nslookup non-existent domain
TCP tlyw3v1:1356 121.15.220.104:http ESTABLISHED nslookup non-existent domain
TCP tlyw3v1:1365 61.129.45.55:http ESTABLISHED nslookup server failed
TCP tlyw3v1:1437 DcsServer.me.ncu.edu.tw:netbios-ssn TIME_WAI
TCP tlyw3v1:1445 oa-22.adm.ncu.edu.tw:http ESTABLISHED
TCP tlyw3v1:1455 222.77.187.210:http TIME_WAIT nslookup non-existent domain
TCP tlyw3v1:1764 163.28.4.23:http TIME_WAIT nslookup non-existent domain
TCP tlyw3v1:1776 125.90.204.58:http ESTABLISHED nslookup non-existent domain
作者 steven7296 (幫升1.9g寄站內信) Thu Dec 20 11:26:26 2007 看板 MeNetManager
標題 盜用GateWay紀錄(請集中紀錄)
沒事請arp -a
GateWay
140.115.65.254
140.115.66.254
140.115.67.254
GateWay MAC: 00-0e-84-3b-e2-00
如果發現MAC不合,請紀錄於下:(只填MAC也可以,網管會儘快查出)
src | dest | proto |info
-----------------------------------------------------------------------------
.66.183_4b:d0:04 Broadcast ARP .66.254 is at 00:13:d4:4b:d0:04
.66.196_f2:a8:3e Broadcast ARP .1.254 is at 00:17:31:f2:a8:3e
.67.247_ef:0d:3d .0.253_26:4c:8f ARP .192.254 is at 00:18:f3:ef:0d:3d
機器 port MAC
350T.1 3 00:14:85:22:9d:30 E2-202 已實體斷線
224G4.08 14 00:13:d4:4b:d0:04 E2-107 已遠端斷線
-- ※ 發信站: 中央機械純真年代(naiveage.me.ncu.edu.tw) ◆ From: 220.134.47.1
推 banca:辛苦了~加油 140.115.65.133 12/20
推 erichsu:由監聽封包證實的確詐騙gateway.晚點貼圖 140.115.205.94 12/20
推 erichsu:補上三張網卡(好像已經重複一張) 140.115.205.94 12/20
→ tlyeh:崇說很難偵測得到 一次是不用arpguard開網 140.115.7.57 12/21
→ tlyeh: 開網頁 發生被攔截去廣告色情網的情形下 140.115.7.57 12/21
→ tlyeh: 用arp -a看到的 不知道是看到怎樣的ip 140.115.7.57 12/21
→ tlyeh: 都是看到ip為*.254 而mac不是計中那個嗎 140.115.7.57 12/21
→ tlyeh: 還是 是看到 121...廣告站的mac不是真GW 140.115.7.57 12/21
→ tlyeh:sniffer filter用*.254而不是計中GWmac -> 140.115.7.57 12/21
→ tlyeh: 這樣 能抓到嗎? 還是要在 用網頁瀏覽引誘 140.115.7.57 12/21
→ tlyeh: 毒站來綁架封包的情形下 才會顯示出來? 140.115.7.57 12/21
----96c20 #infected: lsass smss 你中毒了嗎
http://www.cc.ncu.edu.tw/~w3meng/virus/virus-lsass-smss.htm#infected
怎麼知道你是否 已經 中了 lsass smss 的毒?
(從 計中 劉劍青老師 center5 處得到的資訊.)
(雖然 你的瀏覽器 被 綁架 而 在 正常的網址 的 連結下 顯示了 廣告/色情網站,
並不表示 你的電腦已經中了毒, 也許 更新版本的病毒 會有這樣的效果,
目前的版本 只表示 你被餵了一個 java script js 因而會把 毒網站 引進顯示,
但是 還沒有 程式 常駐在你的硬碟裡 掌握了你的系統.
p.s. 它有這種能力 難道 就不能 進一步的 全都露嗎? 齒冷,
是否 某些系統的權限 根本就不該打開?! 根本就 不該 implement?!)
(petpoku: 也許 server 的作業系統還是該回到 linux,
加上 samba 驅動 使得 winXP client 可以 用 網芳 存取 檔案,
這樣有個好處是: 既便 client 因為中毒 把有毒的檔案送上 server,
這樣的 對 windows 作業系統的毒 不會在 linux 下產生 執行程式的作用,
server 的 作業系統的功能 不會 受到影響.
"Platforms 不該 uniform, 只需要 compatible!")
必然的特徵:
1) 根目錄下 有 autorun.inf 裡面 有 command = ... 指向 病毒程式檔
\pagefile.pif (注意 c:\pagefile.sys 是正常的系統檔)
\ntdelect.com \ntdeIect.com (注意 c:\ntdetect.com 是正常的系統檔)
\recoverable\*.exe \mscis.exe ...
(windows commander 程式 會 顯示每個檔案的 認證 版權 作者 等資料
較易辨識 何者為真正的系統檔, 何者不是,
也可以由檔案日期認出 何者為 毒發時間前後 才進入系統的檔案.
檔案大小 已經會有變種 比較不容易分辨.)
1.1) 通常 這些病毒檔 假裝成 system hidden 等 檔案特性,
所以要用 dir ... /a 這樣的格式的命令提示字元視窗 (執行cmd) 的指令
來看 這些檔案是否存在
1.2) 當 病毒程式 被執行時 它會 lock 鎖定 這些檔的 刪除 甚至 閱讀 權,
所以 試著去 刪除 delete ... 或 看內容 type c:\autorun.inf
這些檔案 竟然會 不准 你 做這些處理, 就表示 病毒已經在執行中
在掌握 你的電腦
2) 病毒檔還存在 c:\windows\system32\com\ 之下 有
LSASS.EXE SMSS.EXE (大寫喔 system32\之下 本來就有 系統檔 是 小寫的)
(叫出工作管理員 執行中的程序 在開機時就載入的
使用者是 SYSTEM 的 是 系統內建的程序, 其他使用者的是後來載入的,
使用者 有可能是 Administrator 及 一般使用者, 可能是病毒程式.)
ntcfg*.* ~.exe 檔名為 數字 的 .exe 都是病毒檔,
2.1) 病毒檔還存在 c:\documents and settings\..任一使用者名字..\ 之下的
"start menu\programs\startup\" "開始功能表\程式集\啟動\" 之下的
~.exe
2.2) 除了上述的檔案 需要殺掉之外 新的變種 好像 也會感染寄生到
一般的 程式檔 裡面 , 掃毒清毒 就不是單純的刪除;
system registry file 也會被更改,
如何能保留 未染毒時的 registry檔 以備不時之需
registry檔 有哪些? 有誰能指點一下?
---- #info_clean: lsass smss 症狀 影響 與 清毒
上面 1) 2) 提到的檔案 若能 在系統關機後 重開到 安全模式下,
通常 病毒的 執行不會啟動, 不足以保護這些檔案,
因此可以 用 提式指令 找出來 刪除.
但是 這個病毒 會破壞 registry 有關 安全模式開機的 功能,
變成 一啟動安全模式 就 立即重開機.
因此變成 需要把 硬碟 拆下來 拿去 另一台PC 當做外掛,
用 NOD32? Norton Antivirus? 卡巴斯基? 來做掃毒 才能有效.
不知道 他們能不能 把 registry 修好.
----96c21
【板主:jack7722/simonhsu32】 郵差來按鈴囉 看板《ME-3A》
1871 412/18 pondaniel □ [轉錄]LSASS SMSS 中毒 會假冒gateway 攔截...
推 sick:smss.exe移除 http://0rz.tw/162w5 140.115.65.145 12/19
→ sick:LSASS 移除http://www.hatea.com.tw/tech/ 140.115.65.145 12/19
→ sick:files/DEL_LSASS.txt 接上一行 140.115.65.145 12/19
----
作者 erichsu (睪丸) Tue Dec 18 11:31:32 2007 看板 MENG
標題 Re: [問題] 12/17系館網路出問題
※ 引述《chiawei (機撼七院龍火焰天)》之銘言:
: 很多間實驗室包括系辦同時出現網路斷斷續續的問題
題外話...轉錄計中開會紀錄
----
近日宿網及校網流行一種隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,
開啟autoexec.inf,會汙染該網段所有電腦的ARP table,將所有clinet 瀏覽的網頁
封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。
計中尚在研究根本的解決方案。
----
說不定系館內部也有人中獎,而導致系內arp table大亂,讓網頁錯誤,甚至開不起來,
以上純屬推測,請實測學弟也注意這個可能性。
----
LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包 將網頁導向廣告色情站
同一區 subdomain 內的 其他電腦會發生 對外的網頁連結 會亂跑 出現 色情網站
* 透過 姆指碟 自動執行的功能 傳染 (請看下面第二點 計中宿網公告 停掉這個功能)
Norton Antivirus 既便會 報告 偵測到病毒, 卻 仍然被感染
1) 你若用 開啟 程式管理員 從執行中程式清單 可以看到
LSASS.EXE (注意 是大寫的) SMSS.EXE 兩個程式 或其中任一 在執行
就表示你的電腦已經中毒了, 很麻煩 ...
另外 c:\windows\prefetch 子目錄下 會出現 LSASS.EXE.PF SMSS.EXE.PF
以及 以數字為名的.EXE.PF
**96c19修正 c:\windows\system32\smss.exe 是 正常的系統程式,
還不確定有沒有病毒假借其名
----96c19 http://www.processlibrary.com/directory/files/smss/
smss.exe is a process which is a part of the Microsoft Windows Operating System.
It is called the Session Manager Subsystem and is responsible
for handling sessions on your system.
This program is important for the stable and secure running of your computer
and should not be terminated.
**96c19此話應修正 (**注意 大寫的LSASS.EXE才是病毒檔,
**96c19此話應修正 小寫的 c:\windows\system32\lsass.exe 是 真正的系統檔, 別殺錯檔案)
**96c19修正 若工作管理員 之 程式清單中只有一個 LSASS.EXE SMSS.EXE
**96c19 且 使用者名稱為 SYSTEM 則 應該是正常的 系統原有的!!**
**96c19 若 使用者名稱是 登入的user名稱,你dministrator也是登入使用者,
**96c19 則 這個程式就不是開機原始載入的
**96c19 可以搜尋這些檔案名字 且 比較 這些檔案 與 c:\windows\system32\
**96c19 下面的其他檔案的 創始日期 若是一致 就應該是原始的系統檔案
**96c19 也可以在瀏覽該子目錄時 用 <選擇詳細資料><產品名稱 版本>
**96c19 來看是否是 Microsoft(R) Windows(R) Operating System
----96c19 http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/
lsass.exe is a system process of the Microsoft Windows security mechanisms.
It specifically deals with local security and login policies.
This program is important for the stable and secure running
of your computer and should not be terminated.
Determining whether lsass.exe is a virus or a legitimate Windows process
depends on the directory location it executes or runs from.
Note: lsass.exe is a process which is registered as a trojan.
This Trojan allows attackers to access your computer from remote locations,
stealing passwords, Internet banking and personal data.
This process is a security risk and should be removed from your system.
Note: lsass.exe is registered as a downloader.
This process usually comes bundled with a virus or spyware and
its main role is to do nothing other than download other viruses/spyware
to your computer.
This process is a security risk and should be removed from your system.
---- end of 96c19
* 停止執行程式後 馬上會有一個 以數字為名字的程式 啟動 把 它又開啟來執行
數字每次都不一樣
* 硬碟 與 姆指碟下 都有 autorun.inf 會將 開啟自動執行 導向 病毒程式
但是 此病毒的 autorun.inf 檔案 內容 竟然被鎖住 不能被讀取 不能被複製
* 系統 關機後 重開機 竟然 不能 進入安全模式 去掃毒除毒
* 也許 硬碟得拆下來 裝到另外一台電腦 當作 外接硬碟
***小心 被掛的電腦的自動開啟執行一定要先關掉 ***
* ptt.cc 站的 antivirus 版 已有文章 說明 如何清除 非常複雜 ...
* registration 檔 會被改掉 所以 掃毒軟體也會失效 安全模式也不能進入
所以 防毒 要把 檔案 經常做備份起來 (WinXP 下面的registry有哪些檔案?)
c:\windows\ bootstat.dat nsreg.dat ? user.dat ? system.dat
* 殺毒之前 要先把 控制台 系統 系統還原 的 功能關掉,
這樣殺掉的 假系統檔 才會真正消失
* reg edit free scan
http://www.liutilities.com/products/wintaskspro/processlibrary/regedit/
*** #no_autoplay: 趕快關閉 自動執行功能 TweakUI autoplay
:
EFix 可以掃除 舊版的 USB病毒 也能 關閉 自動執行 的功能, 但無法清除 新病毒.
2) 防止被導入 假網站: 在 IE 點選 工具 網際網路選項 隱私權 進階
勾選 覆寫cookie處理 第一方cookie 勾選 提示, 第三方cookie 勾選 提示,
這樣 要開啟 任何網站 都會 出現對話框 詢問是否允許
3) 停掉 windows XP 等的 自動執行 功能
http://www.cc.ncu.edu.tw 網路服務 學生宿網 允許瀏覽 unicia.cc.ncu.edu.tw
https://uncia.cc.ncu.edu.tw/dormnet/index.php
宿網首頁公告:
避免因隨身碟而感染病毒,
建議您將對 Removable drivers 的自動執行關閉。
Vista 的使用者可以直接在控制台設定,
Windows XP 可以考慮安裝微軟官方網站所提供的
Tweak UI 工具程式來簡化煩瑣的設定
Tweak UI 可在
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx 下載,
http://download.microsoft.com/download/f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/
http://download.microsoft.com/download/
f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/
for winxp TweakUiPowertoySetup.exe
for Itaniun based OS TweakUIPowertoySetup_ia64.exe
執行安裝檔後 並 在 開始 所有程式 下 有 "Powertoys for WindowsXP" 下有 "tweak UI"
點選 執行後 從其系統功能列舉的選單中 點選
My Computer ->
AutoPlay ->
Types ->
[ ] Enable Autoplay for removable drivers
把那個勾點掉
→ janeyih:工作管理員=>檢視=>選擇欄位 把PID打勾就可以看到PID 12/13 14:06
→ coolhunter:喔喔 最近真的要被這病毒搞瘋了@@ (←被ARP攻擊) 12/13 14:40
→ arl616:可是無法進入windows系統 @@ 他會一進入就重開機 12/13 17:03
推 jackden:進Windows畫面前按F8 選"目錄服務還原模式" 試試。 12/14 06:24
----96c22
作者 petpoku (咪嗚( ̄﹏ ̄||)a) Sat Dec 22 17:28:59 2007 看板 MeNetManager
標題 Re: [公告] 308電腦處理教學
記住一件事 關了AutoRun只是治標而已
要是使用者把隨身碟放進電腦 雖然不會主動執行
但是如果他在檔案總管或是我的電腦 不是由左邊的路徑去點選目錄
而是點了右邊的圖示兩下 恭喜還是AutoRun
----end of 96c22
----
作者 atis (Atis) Tue Dec 18 12:14:31 2007 看板 AntiVirus
標題 Re: [中毒] LSASS.EXE的問題
※ 引述《hihiwhen (黃小噹)》之銘言:
: Po文請使用下列格式並將有要求的檔案附上,資料詳細才有辦法幫您處理:
: 1.問題描述:
: 最近學校網路好像遭受ARP的攻擊,也不知道是甚麼時候中毒的
: 後來工作管理員中就出現administrator的LSASS.EXE與SMSS.EXE的不正常的處理程序
: 使用process exploer中止那兩個程序
: 再使用efix與金山毒霸(之前有人推薦我使用的,不知道有沒有用...orz)
: 就成功解掉哪兩個不正常的程序
: 不過網路就不能用了...orz 掃毒程式也沒有更新...orz
: 也不能進安全模式...orz 大爆炸了...orz
: 所以附上掃描報告...麻煩大大們救救小弟...
: 2.報告連結:
: 請將掃描報告(log)貼於下方 (上面的全要)
: Combofix :http://sun.cis.scu.edu.tw/~92a39/upload/26255.txt
: Hijackthis:http://sun.cis.scu.edu.tw/~92a39/upload/26256.txt
: SRENG :http://sun.cis.scu.edu.tw/~92a39/upload/26257.txt
: 掃毒報告 :
: 感恩...orz
如果是 c:\windows\system32\com\LSASS.EXE 的話
請在電腦搜尋 「~.exe」
它會隨開機啟動,你把c:\windows\system32\com\LSASS.EXE 刪掉
只要一執行到「~.exe」的話,就又會中毒
所以先把「~.exe」清掉,再重開機的話,LSASS.EXE和SMSS.EXE就不會執行了
然後再用combobox刪一下就可以了。
如果還會執行的話,再回報看看
目前我遇到的三、四台,這個解法都OK
1.安全模式的登錄檔應該被修改了,所以進不去
看板上有沒大大可以修復的,我是抓舊的登錄檔覆蓋有問題的來解決
2.不能上網的問題,如果是winxp sp2的話,進command模式
輸入「netsh winsock reset」重置winsock看看
3.搜尋電腦中的檔案「~.exe」看有沒有,有的話全砍掉
4.再用掃毒軟體看c:\windows\system32\com底下還有沒有
LSASS.EXE、SMSS.EXE 有的話請刪除
(第三步沒做的話,會一直再產生這二個病毒)
5.這隻病毒不知什麼途徑進來的,本校也中被感染的很嚴重
被感染的電腦都有大部份沒有做windows的update
試過紅傘要開Unusual Runtime Compression Tools的診測才會抓到
McAfee則是一點反應都沒有、nod32好像也是、卡巴沒試過
combobox在執行完第三步,重開後,可以將這二隻有效的刪除
6.補充一下,一中毒中,它會將登錄檔中run底下的元件全刪掉
所以防毒就不會運作了,要注意一下
推 dick0631:卡巴有用。 12/18 14:27
----96c19 http://www.hatea.com.tw/tech/files/DEL_LSASS.txt
木馬程式 LSASS.exe 清除方法
癥狀:
1.工作管理員內的處理程序有2個lsass.exe程序,一個是system的,
一個是目前用戶名稱的(該程序為木馬).
2.點擊2次D磁碟機打不開,只能透過按滑鼠右鍵方式來開啟D磁碟機,
用kaspersky掃描可以掃描出來,並且可以殺掉.
但是重新開機後又有兩個lsass.exe進程.
3.中木馬之後會在D磁碟機根目錄下產生command.com和autorun.inf兩個檔案,
同時會入侵登錄檔破壞系統檔案關聯.
該木馬會建立如下檔案:
c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
c:\windows\debug\debugprogram.exe
c:\windows\system32\Anskya0.exe
c:\windows\system32\dxdiag.com
c:\windows\system32\MSCONFIG.com
c:\windows\system32\regedit.com
c:\windows\system32\LSASS.exe
c:\windows\system32\EXERT.exe
解決方法:
1.結束LSASS.exe程序:
按Ctrl+Alt+Del會跑出工作管理員,點選" 處理程序 ",
發現要結束以用戶名稱存在的LSASS.exe程序是行不通的.
會彈出該程序為系統程序無法結束的提醒框,
此時請點選 "檢視"->"選擇欄位" 勾選" PID(程序識別元)",
再點擊"確定"。
找到以用戶名稱存在的LSASS.exe程序,記住其PID號碼.
點選 "開始"-> "執行" 輸入"CMD" [Enter],
會出現"命令提示字元"視窗,請在視窗內輸入
" ntsd –c q -p PID",假設你找到的PID號碼是1064
就請輸入"ntsd –c q -p 1064" [Enter],如此就可以結束LSASS.exe程序了.
2.刪除木馬檔案:
大多數的木馬檔案都是隱藏文件所以要設置顯示所有的隱藏文件、
系統文件和顯示所有檔案.
請點選 我的電腦 ->工具(T) -> 資料夾夾選項(O) -> "檢視"
打勾 "顯示所有檔案和資料夾",
取消 "隱藏已知檔案類型的副檔名"和 "隱藏保護的作業系統檔案",
這時會彈出一個警告,選擇"是",至此就能顯示所有的隱藏文件了.
刪除如下的檔案:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D磁碟機按滑鼠右鍵,選擇“開啟”,
刪除掉根目錄下的"Autorun.inf"和"command.com"檔案.
3.將Windows目錄下的"regedit.exe"改名為"regedit.com" 並點選執行,刪除以下項目:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項
將HKEY_CLASSES_ROOT\.exe的默認值修改為"exefile"(原來是windowsfile)
將 HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為
"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原來是intexplore.com)
將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
的默認值修改為
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)
將HKEY_CLASSES_ROOT\ftp\shell\open\command 和 HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command
的默認值修改為
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默認值修改為"IEXPLORE.EXE".(原來是INTEXPLORE.pif)
4.將Windows目錄下的 regedit.com 名稱改回 regedit.exe,
至此病毒清除成功,登錄檔修復完畢,重新開機即
----96c19 http://down.ddvip.com/view/11568296234642.html 簡體字網頁
lsass.exe專殺工具 下載免費IT資料 http://www.wish-edu.cn/
http://down.ddvip.com/view/11568296234642.html#down
軟件類別:專殺工具 軟件大小:74KB 界面語言:簡體中文
運行平臺:Win9x/2000/XP 授權方式:免費軟件 下載次數:156895
更新時間:2007-03-23 推薦星級:3星級 官方網站:Home Page
聯繫方式:暫無聯繫資料 卡巴斯基:通過檢測
木馬檢測:通過檢測
金山毒霸:未檢測 瑞星2007:未檢測 江民2007:未檢測
插件檢測:無插件 正常卸載:完全卸載 系統安全:安全
安全等級:三星 綜合評分:4分
進程堶惘2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程?病毒).
雙擊D:盤打不開,只能通過右擊選擇打開來打開.
用kaspersky掃描可以掃描出來,並且可以殺掉.
但是重啟後又有兩個lsass.exe進程.
該病毒是一個木馬程序,中毒後會在D盤根目錄下
產生command.com和autorun.inf兩個文件,
同時侵入注冊表破壞系統文件關聯.該病毒修改注冊表啟動RUN鍵值,指向LSASS.exe,
修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,
重新建windowfile鍵值.將exe文件打開鏈接關聯到其生成的病毒程序%SYSTEM\EXERT.exe上.
本專殺工具最好在安全模式下使用(開機按F8或者F5選擇 安全模式 進入),
只在winXP SP2下實驗通過!
可以嘗試使用手動方法清除:http://tech.ddvip.com/2007-03/117463790521954.html
----
·lsass.exe病毒木馬病毒症狀及手工清除方法
http://tech.ddvip.com/2006-08/11545493316857.html
·lsass.exe清除方法+專殺工具
http://tech.ddvip.com/2006-08/11568297308555.html
http://tech.ddvip.com/2006-08/11545493316857.html
本文詳細介紹lsass.exe病毒木馬病毒症狀及手工清除方法
最近N多網友反映自己的D盤雙擊打不開,出現選擇程序打開方式對話框。
D盤目錄下有command.com和autorun.inf兩個文件,?掉又會出來。
進程堶惘2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒).
同時修改N多注冊表鍵值,創建N多病毒文件。。所以要想清楚乾淨十分困難。。
本人本想偷偷懶到網上找篇真正能解?問題的文章帖上來,但是,相關的很多,
真正能完全有效又能讓對電腦瞭解不是很多的網友看懂的?沒有看到,
所以就整理了這篇文章,希望對大家有用。
(注:同時流行的還有smss.exe,方法一樣。
只要把smss.exe當成下面內容中的lsass.exe就行了。
。最近又發現?裝成WINLOGON.EXE,路徑是C:\WINDOWS\WINLOGON.EXE,
同時生成c:/windows/1.com
c:/windows/exeroute.exe
c:/windows/explorer.com
c:/windows/finder.com
d:/pagefile.com
全部?除,然後按後面的方法。。把WINLOGON.EXE當成LSASS.exe對待)
以windows xp?例
一、準備工作:
打開"我的電腦"--工具--文件夾選項--查看
a、把"隱藏受保護的操作系統文件(推薦)"和"隱藏已知文件類型的擴展名"前面的勾去掉;
b、勾中"顯示所有文件和文件夾"
二、結束進程
用Ctrl+Alt+Del調出windows務管理器,想通過右擊
當前用戶名的lsass.exe來結束進程是行不通的.
會彈出該進程?系統進程無法結束的提醒框;
點到任務管理器進程面版,點擊菜單,"查看"-"選擇列",
在彈出的對話框中選擇"PID(進程標識符)",?點擊"確定"。
找到映象名稱?"LSASS.exe",?且用戶名不是"SYSTEM"的一項,
記住其PID號.點擊"開始"--運行,輸入"CMD",點擊"確定"打開命令行控制臺。
輸入"ntsd -c q -p (此紅色部分填寫你在任務管理器堿搢鴘摔SASS.EXE的PID列的數字,
是當前用戶名進程的PID,別看錯了)",
比如我的計算機上就輸入"ntsd -c q -p 1064".這樣進程就結束了。
(如果結束了又會出現,那?你還是用下面的方法吧)
三、?除病毒文件
?除如下幾個文件: (與WIN2000的目錄有所不同)
(要用 <工具> <資料選項> <進階> <不勾選 隱藏系統檔案>
<勾選 顯示隱藏檔案> 然後 <套用到所有文件夾>)
C:\Program Files\Common Files\INTEXPLORE.pif (有的沒有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe (或者exeroute.exe)
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盤上點擊鼠標右鍵,選擇"打開"。?除掉該分區根目錄下的"Autorun.inf"和"command.com"文件.
四、?除注?表中的其他垃圾信息
將C:\WINDOWS目錄下的"regedit.exe"改名?"regedit.com"?運行,?除以下項目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
下麵的 Check_Associations項
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下麵的ToP項
五、修復注?表中被篡改的鍵值(紅色部分?需要信息)
1、將HKEY_CLASSES_ROOT\.exe的默認值修改? "exefile"(原來是windowsfile)
2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改?
"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原來是intexplore.com)
3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command 的默認值修改?
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)
4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和
HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默認值修改?"C:\Program Files\Internet Explorer\iexplore.exe" %1
(原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改?
"C:\Program Files\Internet Explorer\iexplore.exe" -nohome
6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默認值修改?"IEXPLORE.EXE".(原來是INTEXPLORE.pif)
六、收尾工作
關掉注?表編輯器
將C:\WINDOWS目錄下的regedit.com改回regedit.exe,如果提示有重名文件存在,
不能更改,可以先將重名的regedit.exe?除,再將regedit.com改?regedit.exe。
好了,恭喜你,大功告成了!!!是不是很有成就感啊??呵呵。
http://tech.ddvip.com/2006-08/11568297308555.html
(我在按易博兄的步驟作到這一步時,發現系統自動生成了一個regedit.exe,那?你把regedit.com?除就可以了)
來源:www.gypin.com 作者:蒲公英 責編:豆豆技術應用
---- end of 96c13
----
作者 jinkuso (人不惡搞枉少年) 看板 AntiVirus
標題 [中毒] LSASS.EXE出現在工作管理員中(已爬文仍無解)
1.問題描述:
請在下面說明碰到的中毒情形,越詳細越好(可貼圖說明):
LSASS.EXE 出現在工作管理員中且使用者名稱為登入之使用者
已爬文但是沒有看到感染症狀會出現再檔案(有開啟顯示隱藏檔)
使用Combofix卻有找到那些檔案...
EX: C:\windows\system32\com\LSASS.EXE 但是使用搜尋或是在CMD底下看仍無看見該檔
試過從CMD下指令強制結束LSASS.EXE,不過馬上會再啟動然後多一個IEXPLORE.EXE ...
無法進入安全模式,再讀完必要的DLL檔後會自動重開機...
由Combofix的log得知安全模式的登錄檔損壞了= =...
影響:造成區網不穩定,開機時顯示alg.exe檔啟動錯誤
使用Combofix掃到最後重開時會出現錯誤
看完LOG之後自己還覺得滿嚴重的...= =...
2.掃毒報告:
請先使用掃毒軟體執行全機掃描後將掃毒結果傳到置底空間
如會掃描很久請最少掃描以下位置:
C:\Windows\System32 C:\Windows C:\Program Files
使用的是Office Scan掃毒
結果是無異常,但是會不定時出現偵測到並刪除PAK_Generic 01病毒之情況
請務必補上掃毒報告,如無法掃描請務必註明,也可使用線上掃毒掃描報告
線上掃毒使用方式請看精華區
3.系統輔助分析軟體掃描報告(請依照COMBOFIX→Hijackthis→SRENG排序執行):
請將掃描結果上傳至置底空間,置底空間無法使用者請改用http://www.kotuha.com
使用方式:
Combofix: http://reinfors.googlepages.com/Combofix
Hijackthis: http://reinfors.googlepages.com/Hijackthis
SRENG: http://reinfors.googlepages.com/SRENG
如無法使用網路請看精華區 1 - 8 使用方式
4.報告連結:
請將掃描報告(log)貼於下方 (上面的全要)
Combofix :http://sun.cis.scu.edu.tw/~92a39/upload/25371.txt
Hijackthis:http://sun.cis.scu.edu.tw/~92a39/upload/25372.txt
SRENG :http://sun.cis.scu.edu.tw/~92a39/upload/25373.txt
Efix :http://sun.cis.scu.edu.tw/~92a39/upload/25374.txt
這個還有救嗎...本來想說重灌就好,不過怕的是重灌也沒用 = =||
Pand線上掃毒:http://sun.cis.scu.edu.tw/~92a39/upload/25382.txt
Efix :http://sun.cis.scu.edu.tw/~92a39/upload/25385.txt
推 junorn:重新再跑一次EFix之後將掃描結果傳上來 11/28 05:09
複製下列黃色文字
Script
File:
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\WINDOWS\system32\pavas.ico
C:\WINDOWS\system32\Help.ico
然後按開始 -> 執行 -> 輸入下列文字後按確定
C:\EFix\Runthis.bat
按確定完之後再重新執行一次EFix
然後重開機
重開機後重新掃log上來
照J大的方法試過了
EFix:http://sun.cis.scu.edu.tw/~92a39/upload/25386.txt
再麻煩J大幫忙看一下了 m(_ _)m
---------------------------------------------------
照上一篇J大的方法用EFix重新掃過
之後再用Combofix掃過重開機後就沒有再出現了 \(。v。)/ ~(J大好威啊)~
Combofix: http://sun.cis.scu.edu.tw/~92a39/upload/25393.txt
Hijackthis: http://sun.cis.scu.edu.tw/~92a39/upload/25394.txt
SRENG: http://sun.cis.scu.edu.tw/~92a39/upload/25398.txt
EFix: http://sun.cis.scu.edu.tw/~92a39/upload/25399.txt
為了安全起見~還是麻煩J大再幫忙看一下~
另外想請問一下關於安全模式登錄檔損壞的問題(DiskDrive這個機碼沒了)
只要補上機碼就可以了嗎
推 junorn:其他的也要 11/28 13:34
推 junorn:嗯好了,就這樣在用看看吧,安全模式那個不用管他沒關係 11/28 14:19
推 jinkuso:感謝J大~m(_ _)m~ 11/28 14:30
---- 96c20
作者: petpoku (咪嗚( ̄﹏ ̄||)a) 看板: MeNetManager
標題: 好毒 好毒
時間: Wed Dec 19 23:15:47 2007
※ [本文轉錄自 P_petpoku 看板]
作者: petpoku (咪嗚( ̄﹏ ̄||)a) 看板: P_petpoku
標題: 好毒 好毒
時間: Wed Dec 19 23:14:56 2007
整理一些相關訊息
http://vi.duba.net/virus/worm-vcingt-o-102400-50249.html
http://big5.ycwb.com/ycwb/2007-12/06/content_1712049.htm
http://vi.duba.net/virus/win32-troj-downloader-yl-102400-50215.html
12月3日,金山毒霸全球反病毒監測中心發布周(12.03-12.09)病毒預警,本周內廣大用
戶需高度警惕、“ARP下載者102400”(Win32.Troj.Downloader.yl.102400)。該病毒進
入系統后,會釋放出5個病毒文件,同時還在所有的磁盤根目錄下生成自己的副本。
金山毒霸反病毒專家戴光劍表示,病毒還會將自己拷貝到%WINDOWS%\s
ystem32\Com\目錄下,更名為LSASS.EXE,并釋放并運行病毒文件SMSS.EXE和ALG.EXE,由
于病毒的進程名和系統的LSASS、SMSS進程名相同,任務管理器將無法結束它。該病毒會
修改注冊表,禁用顯示隱藏文件選項,使隱藏文件無法被顯示,并破坏系統安全模式的相
關數据,使用戶無法啟動安全模式。
据了解,最后該病毒悄悄建立遠程連接,從http://w.c**o.com/*.htm和
http://j*.k***2.com/g*.asp這兩個黑客指定的地址下載惡意腳本執行。此外,之前生成
的alg.exe是個ARP病毒,它會利用WinPcap來收發网絡包,對整個局域网內的所有IP進行
攻擊,給网絡中的所有用戶造成影響。
Worm.VcingT.o.102400
病毒名(中文):感染虫下^器102400病毒g名:威g:★★☆☆☆病毒搦:蠕虫病毒
病毒c度:102400影楊ti:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行o:
惇O一疝P染型病毒。G病毒b行后,挶P染几乎所有的exe文件,并在各d生AUTO病
毒。它x盛脾IG,下^更多的病毒,H用系i安全造成更大影楚C
1.病毒b行后,生成以下病毒文件
c:\WINDOWS\system32\Com\lsass.exe
c:\WINDOWS\system32\Com\smss.exe
c:\WINDOWS\system32\Com\netcfg.dll
c:\WINDOWS\system32\Com\netcfg.000
2.在各鬙ㄓU,autorun.inf和相堛滲f毒文件。
3.病毒b行后,感染所有符合W件的exe文件,使文件增大。
4.每次b行被感染的文件都悁A次b行病毒。
5.病毒悒瀳ttp://w.XXX.com/r.htm魖一狗f毒文件列表,用若安E有防火鶗i
鷅I到此操作。
6.病毒通eIE汙盛筐壖IG下^上述列表中的的病毒。
7.列表中含有A木憿AARP欺蒟f毒等,薯P局域网用造成极大印象,甚至造成局
域网T銵C
病毒名(中文):ARP下^者102400病毒g名:威g:★★☆☆☆病毒搦:木擗U^器
病毒c度:102400影楊ti:Win9x WinNT
病毒行o:
惇O一爸膃莧RP 欺膋漱U^者病毒,在下^病毒到本地b行的同x生成大量AUTO病毒
文件。G病毒x具有具有映象劫持功能,可以薑@些安全工具和`I分析陞n行鷅I,
并不囮尷`銂禫}坏安全安全模式,阻止用修复系i。
1.病毒b行后,\放以下文件:
%system32%\Com\SMSS.EXE
%system32%\dnsq.dll
%system32%\drivers\alg.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
在每鬙ㄓU生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件.
2.G病毒戙}坏安全模式和禁用了文件u左F示倦瓣憟顗u扔傮N操作,使用は
法Q藀w全模式,
并且使倦瓣憟鬷茠k被F示.由于G病毒是不坉蚹麊`銂,也使一些安全工具(金山清理
家等)
は法成功修复安全模式.
病毒自己不在注銂ヱ RUN,j把RUN f的干干``,使得一些的常用陞,安全工具
等,不能{机自Q.
3.G病毒具有映象劫持功能,可以薑@些安全工具和`I分析陞n行鷅I.
薔H下一些安全工具和`I分析陞鷅I:
OLLYDBG
IDA
MetaPad
SOFTICE
一些安全陞韟p ICESWORD ,360.... 也捖Q.
4.病毒潀菑v拷P到 %system32%\Com下,更名o LSASS.EXE,并\放SMSS.EXE 和
ALG.EXE ,最后b行LSASS.EXE, SMSS.EXE 和 ALG.EXE. 由于病毒的n程名和系i的
LSASS,SMSS n程名相同,使任嚘瑊z器は法C束它.
5.G病毒a程注入 dnsq.dll 到其它n程中,在其它n程中Q薴@E程S不S病
毒的n程是否被.若簳麭Q,就自藀AQ藋f毒n程. 如果被一些Y毒陞顝M安
全工具阻止ヱ堣F,被注入的其它n程就`用 SYSTEM32 目ㄓU的 SHUTDOWN.EXE S
y算机( ^_^ 病毒作者真是淘气啊! ).
6.病毒捊V源管理器的右~菜,使用不易察T病毒被自b行,憟利用V源管
理器打{分,はb是直接b行或右~打{都b行病毒.
7.G病毒Q薴@ IE n程S盛粟 http://w.c**o.com/r.htm 和
http://*s.k**02.com/**.asp,并下^傮N鬙蠾.
8.G病毒悒穻谷ho件,并注o IE 插件. 它的行o特征p傮N陞,悝Q用
REGSVR32.EXE o netcfg.dll 注鉿h牧慢LASSSID, Y毒陞馧q常不能清除干`,悁
大量炟d. 建V使用金山清理家清除.
9. %system32%\drivers\alg.exe 是服RP 病毒,利用 WinPcap S收网G包,謙爭
域网X的所有 IP n行 ARP 攻.并在截鱆漪O觛u包X插入傮N代, G代G
http://1**.*1.2*5.1*0/setup.exe 下^病毒的最新版本到本地b行.使被攻菄漣蔑壖I
X其它用中毒.
http://0rz.tw/7f3rX Symantec.
http://0rz.tw/373ty
http://security.ascc.sinica.edu.tw/infosec-web/viewtopic.php?t=309
2007-12-05 破壞安全程序的W32.Baki.A蠕蟲
病毒型態: 蠕蟲
影響平台: Windows 98, Windows XP, Windows Me, Windows Vista, Windows NT,
Windows Server 2003, Windows 2000
概述: W32.Baki.A透過可移動裝置傳播。會使受影響系統的安全程序遭到破壞。
說明:
當W32.Baki.A執行時,會產生下列動作:
1.複製成為下列檔案︰
%SystemDrive%\Documents and Settings\All Users\Documents\Music.exe
%SystemDrive%\Documents and Settings\All Users\Start
Menu\Programs\Startup\Empty.pif
%Windir%\ime\imjp8_1\applets\lsass.exe
%Windir%\mui\smss.exe
%Windir%\pchealth\ERRORREP\QHEADLES\smss.exe
%Windir%\Autorun.inf
%Windir%\SoftWareProtector\Error_out.pr
2.複製本身到全部裝置中:%DriveLetter%\Open.exe。
3.建立%DriveLetter%\AUTORUN.INF,讓存取裝置時,執行該蠕蟲。
4.建立下列資料夾中並隱藏:
%Windir%\Fonts
%Windir%\system32
5.建立下列登錄機碼,讓windows每次開機時,執行該蠕蟲:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"kb" = "C:\WINDOWS\system32\drivers\AUTO.TXT"
6.修改下列登錄機碼,讓windows每次開機時,執行該蠕蟲:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"Userinit" =
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\fonts\services.exe"
7.建立下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command\"Default" =
"C:\WINDOWS\pchealth\ERRORREP\QHEADLES\smss.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
"LimitSystemRestoreCheckpointing" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
"DisableMSI" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore\"DisableSR" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"HideClock" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoControlPanel" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoDrives" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoShellSearchButton" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
WinOldApp\"Disable" = "1"
8.修改下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\"Default" =
"C:\WINDOWS\ime\imjp8_1\applets\lsass.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\"Default" =
"C:\WINDOWS\pchealth\ERRORREP\QHEADLES\smss.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"Default" = "File Folder"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command\"Default" =
"C:\WINDOWS\ime\imjp8_1\applets\lsass.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AeDebug\"Auto" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\
"Debugger" = "C:\WINDOWS\mui\smss.exe""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
"AlternateShell" = "C:\WINDOWS\mui\smss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"LegalNoticeCaption" = "KIBAKI TOSHA KIBAKI TENA"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"LegalNoticeText" = "KIBAKI FOR PRESIDENT VOTE KIBAKI FOR A BETTER FUTURE.
We need a person who have thought of tomorrow and willing to salvage our
country.
Kibaki have done so in the past five years. KIBAKI TOSHA TENA "
9.刪除下列登錄機碼:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\"Hidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\"HideFileExt" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\"ShowSuperHidden" = "1"
10.結束下列安全程序:
Ashavast.exe
Ashdisp.exe
Ashmaisv.exe
Ashserv.exe
Ashwebsv.exe
aswupdsv.exe
avgcc.exe
AVS 2007.exe
mcagent.exe
Mcmnhdlr.exe
mcshield.exe
McVSEscn.exe
McVsftsn.exe
MsAutoPro.exe
nod32.exe
nod32krn.exe
nod32kui.exe
11.當標題中包含下列字串時,結束windows:
ANT
ANTI
AUTO
AVAS
AVAST
AVG
AVS
BUG
CLEA
COMPON
CONSOL
DETEC
ESSE
ESSET
KASP
KAV
KILL
MANAGEMENT
MCA
MCAFEE
MECHAN
NOD
NOD32
NOR
NORTON
PAND
PROC
REG
Registry Editor
REMOV
SCAN
SECUR
SUPPORT
SYMAN
TASK
TRIA
UNH
UNHO
UNLO
VIR
VIRUS
W32
12.然後關閉windows:
RegEdit_RegEdit
解決方案:
1.暫時關閉系統還原功能 (Windows Me/XP)
系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料
。
系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修
改
系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料
夾
中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復
受感染的檔案。
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows Me還原功能
關閉Windows XP還原功能
2.更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克
趨勢科技
3.執行全系統掃描
(a)執行防毒軟體,並設定為執行全系統掃描
(b)如果偵測到病毒,則採取防毒軟體所建議的步驟
(c)如果掃描出任何病毒,請刪除病毒
(註)假如防毒產品無法移除受感染的檔案,請以安全模式開啟,並再次執行掃毒程序,
移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
(Warning messages),因為此時威脅仍未完全解除,可忽略此警訊點選OK,
指令完全移除後,重新開機便不會再出現警訊,警告訊息呈現如下列所示:
Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME].
Make sure you typed the name correctly, and then try again.
To search for a file, click the Start button, and then click Search.
4.刪除登入檔內的值(value):
(a)滑鼠左鍵點選 開始\執行
(b)鍵入 regedit
(c)滑鼠左鍵點選 確定
(d)刪除下列登錄項目(registry entries):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"kb" =
"C:\WINDOWS\system32\drivers\AUTO.TXT"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command\"Default"
=
"C:\WINDOWS\pchealth\ERRORREP\QHEADLES\smss.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
"LimitSystemRestoreCheckpointing" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
"DisableMSI" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore\"DisableSR" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"HideClock" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoControlPanel" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoDrives" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"NoShellSearchButton" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
WinOldApp\"Disable" = "1"
(e)如有需要,恢復下列登錄項目(registry entries):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"Hidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"HideFileExt" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"ShowSuperHidden" = "1"
(f)恢復下列登錄項目值(values):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"Userinit" =
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\fonts\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\"Default"
=
"C:\WINDOWS\ime\imjp8_1\applets\lsass.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\"Default"
=
"C:\WINDOWS\pchealth\ERRORREP\QHEADLES\smss.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"Default" = "File Folder"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command\"Default"
=
"C:\WINDOWS\ime\imjp8_1\applets\lsass.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AeDebug\"Auto" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\
"Debugger" = "C:\WINDOWS\mui\smss.exe""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
"AlternateShell" = "C:\WINDOWS\mui\smss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"LegalNoticeCaption" = "KIBAKI TOSHA KIBAKI TENA"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"LegalNoticeText" = "KIBAKI FOR PRESIDENT VOTE KIBAKI FOR A BETTER
FUTURE. We need a
person who have thought of tomorrow and willing to salvage our country
Kibaki have
done so in the past five years. KIBAKI TOSHA TENA "
(g)離開登錄檔編輯器
結束LSASS.exe程序:
按Ctrl+Alt+Del會跑出工作管理員,點選" 處理程序 ",發現要結束以用戶名稱存在的
LSASS.exe程序是行不通的.會彈出該程序為系統程序無法結束的提醒框,此時請點選 "檢
視"->"選擇欄位" 勾選" PID(程序識別元)",在點擊"確定"。
找到以用戶名稱存在的LSASS.exe程序,記住其PID號碼.
點選 "開始"-> "執行" 輸入"CMD" [Enter],會出現"命令提示字元"視窗,請在視窗內輸
入 " ntsd –c q -p PID",假設你找到的PID號碼是1064 就請輸入"ntsd –c q -p
1064" [Enter],如此就可以結束LSASS.exe程序了.
---- 96c20
作者: petpoku (咪嗚(?﹏?||)a) 看板: MeNetManager
標題: 好毒 好毒
時間: Wed Dec 19 23:15:47 2007
※ [本文轉錄自 P_petpoku 看板]
作者: petpoku (咪嗚(?﹏?||)a) 看板: P_petpoku
標題: 好毒 好毒
時間: Wed Dec 19 23:14:56 2007
整理一些相關訊息
http://vi.duba.net/virus/worm-vcingt-o-102400-50249.html
http://big5.ycwb.com/ycwb/2007-12/06/content_1712049.htm
http://vi.duba.net/virus/win32-troj-downloader-yl-102400-50215.html
12月3日,金山毒霸全球反病毒監測中心發布周(12.03-12.09)病毒預警,本周內廣大用
戶需高度警惕、"ARP下載者102400"(Win32.Troj.Downloader.yl.102400)。該病毒進
入系統後,會釋放出5個病毒文件,同時還在所有的磁盤根目錄下生成自己的副本。
金山毒霸反病毒專家戴光劍表示,病毒還會將自己拷貝到%WINDOWS%\s
ystem32\Com\目錄下,更名為LSASS.EXE,?釋放?運行病毒文件SMSS.EXE和ALG.EXE,由
于病毒的進程名和系統的LSASS、SMSS進程名相同,任務管理器將無法結束它。該病毒會
修改注?表,禁用顯示隱藏文件選項,使隱藏文件無法被顯示,?破壞系統安全模式的相
關數據,使用戶無法?動安全模式。
據瞭解,最後該病毒悄悄建立遠程連接,從http://w.c**o.com/*.htm和
http://j*.k***2.com/g*.asp這兩個黑客指定的地址下載惡意?本執行。此外,之前生成
的alg.exe是個ARP病毒,它會利用WinPcap來收發網絡包,對整個局域網內的所有IP進行
攻擊,給網絡中的所有用戶造成影響。
Worm.VcingT.o.102400
病毒名(中文):感染蟲下^器102400病毒g名:威g:★★☆☆☆病毒搦:蠕蟲病毒
病毒c度:102400影楊ti:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行o:
惇O一疝P染型病毒。G病毒b行后,挶P染几乎所有的exe文件,并在各d生AUTO病
毒。它x盛絢G,下^更多的病毒,H用系i安全造成更大影楚C
1.病毒b行後,生成以下病毒文件
c:\WINDOWS\system32\Com\lsass.exe
c:\WINDOWS\system32\Com\smss.exe
c:\WINDOWS\system32\Com\netcfg.dll
c:\WINDOWS\system32\Com\netcfg.000
2.在各鬙ㄓU,autorun.inf和相堛滲f毒文件。
3.病毒b行後,感染所有符合W件的exe文件,使文件增大。
4.每次b行被感染的文件都悁A次b行病毒。
5.病毒悒瀳ttp://w.XXX.com/r.htm魖一狗f毒文件列表,用若安E有防火鶗i
鷅I到此操作。
6.病毒通eIE汙盛筐儥G下^上述列表中的的病毒。
7.列表中含有A木憿AARP欺蒟f毒等,薯P局域网用造成极大印象,甚至造成局
域网T銵C
病毒名(中文):ARP下^者102400病毒g名:威g:★★☆☆☆病毒搦:木擗U^器
病毒c度:102400影楊ti:Win9x WinNT
病毒行o:
惇O一爸膃莧RP 欺膋漱U^者病毒,在下^病毒到本地b行的同x生成大量AUTO病毒
文件。G病毒x具有具有映象劫持功能,可以薑@些安全工具和`I分析陞n行鷅I,
并不囮尷`銂禫}坏安全安全模式,阻止用修复系i。
1.病毒b行後,\放以下文件:
%system32%\Com\SMSS.EXE
%system32%\dnsq.dll
%system32%\drivers\alg.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
在每鬙ㄓU生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件.
2.G病毒戙}壞安全模式和禁用了文件u左F示倦瓣憟顗u扔傮N操作,使用は
法Q藀w全模式,
?且使倦瓣憟鬷茠k被F示.由于G病毒是不坉蚹麊`銂,也使一些安全工具(金山清理
家等)
は法成功修復安全模式.
病毒自己不在注銂ヱ RUN,j把RUN f的幹幹``,使得一些的常用陞,安全工具
等,不能{機自Q.
3.G病毒具有映象劫持功能,可以薑@些安全工具和`I分析陞n行鷅I.
薔H下一些安全工具和`I分析陞鷅I:
OLLYDBG
IDA
MetaPad
SOFTICE
一些安全陞韟p ICESWORD ,360.... 也捖Q.
4.病毒潀菑v拷P到 %system32%\Com下,更名o LSASS.EXE,?\放SMSS.EXE 和
ALG.EXE ,最後b行LSASS.EXE, SMSS.EXE 和 ALG.EXE. 由于病毒的n程名和系i的
LSASS,SMSS n程名相同,使任嚘瑊z器は法C束它.
5.G病毒a程注入 dnsq.dll 到其它n程中,在其它n程中Q薴@E程S不S病
毒的n程是否被.若簳麭Q,就自藀AQ藋f毒n程. 如果被一些Y毒陞顝M安
全工具阻止ヱ堣F,被注入的其它n程就`用 SYSTEM32 目ㄓU的 SHUTDOWN.EXE S
y算機( ^_^ 病毒作者真是淘氣啊! ).
6.病毒捊V源管理器的右~菜,使用不易察T病毒被自b行,憟利用V源管
理器打{分,はb是直接b行或右~打{都b行病毒.
7.G病毒Q薴@ IE n程S盛粟 http://w.c**o.com/r.htm 和
http://*s.k**02.com/**.asp,?下^傮N鬙蠾.
8.G病毒悒穻谷ho件,?注o IE 插件. 它的行o特徵p傮N陞,悝Q用
REGSVR32.EXE o netcfg.dll 注鉿h牧慢LASSSID, Y毒陞馧q常不能清除幹`,悁
大量炟d. 建V使用金山清理家清除.
9. %system32%\drivers\alg.exe 是服RP 病毒,利用 WinPcap S收网G包,謙爭
域网X的所有 IP n行 ARP 攻.并在截鱆漪O觛u包X插入傮N代, G代G
http://1**.*1.2*5.1*0/setup.exe 下^病毒的最新版本到本地b行.使被攻菄漣蔑儥
X其它用中毒.
---- 96c20
http://0rz.tw/7f3rX Symantec.
http://0rz.tw/373ty
http://security.ascc.sinica.edu.tw/infosec-web/viewtopic.php?t=309
2007-12-05 破壞安全程序的W32.Baki.A蠕蟲
病毒型態: 蠕蟲
影響平臺: Windows 98, Windows XP, Windows Me, Windows Vista, Windows NT,
Windows Server 2003, Windows 2000
概述: W32.Baki.A透過可移動裝置傳播。會使受影響系統的安全程序遭到破壞。
說明:
當W32.Baki.A執行時,會產生下列動作:
1.複製成為下列檔案︰
%SystemDrive%\Documents and Settings\All Users\Documents\Music.exe
%SystemDrive%\Documents and Settings\All Users\Start
Menu\Programs\Startup\Empty.pif
%Windir%\ime\imjp8_1\applets\lsass.exe
%Windir%\mui\smss.exe
%Windir%\pchealth\ERRORREP\QHEADLES\smss.exe
%Windir%\Autorun.inf
%Windir%\SoftWareProtector\Error_out.pr
2.複製本身到全部裝置中:%DriveLetter%\Open.exe。
3.建立%DriveLetter%\AUTORUN.INF,讓存取裝置時,執行該蠕蟲。
4.建立下列資料夾中並隱藏:
%Windir%\Fonts
%Windir%\system32
5.建立下列登錄機碼,讓windows每次開機時,執行該蠕蟲:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"kb" = "C:\WINDOWS\system32\drivers\AUTO.TXT"
6.修改下列登錄機碼,讓windows每次開機時,執行該蠕蟲:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"Userinit" =
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\fonts\services.exe"
7.建立下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command\"Default" =
"C:\WINDOWS\pchealth\ERRORREP\QHEADLES\smss.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
"LimitSystemRestoreCheckpointing" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
"DisableMSI" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore\"DisableSR" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"HideClock" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoControlPanel" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoDrives" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoShellSearchButton" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
WinOldApp\"Disable" = "1"
8.修改下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\"Default" =
"C:\WINDOWS\ime\imjp8_1\applets\lsass.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\"Default" =
"C:\WINDOWS\pchealth\ERRORREP\QHEADLES\smss.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"Default" = "File Folder"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command\"Default" =
"C:\WINDOWS\ime\imjp8_1\applets\lsass.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AeDebug\"Auto" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\
"Debugger" = "C:\WINDOWS\mui\smss.exe""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
"AlternateShell" = "C:\WINDOWS\mui\smss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"LegalNoticeCaption" = "KIBAKI TOSHA KIBAKI TENA"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"LegalNoticeText" = "KIBAKI FOR PRESIDENT VOTE KIBAKI FOR A BETTER FUTURE.
We need a person who have thought of tomorrow and willing to salvage our
country.
Kibaki have done so in the past five years. KIBAKI TOSHA TENA "
9.刪除下列登錄機碼:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\"Hidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\"HideFileExt" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\"ShowSuperHidden" = "1"
10.結束下列安全程序:
Ashavast.exe
Ashdisp.exe
Ashmaisv.exe
Ashserv.exe
Ashwebsv.exe
aswupdsv.exe
avgcc.exe
AVS 2007.exe
mcagent.exe
Mcmnhdlr.exe
mcshield.exe
McVSEscn.exe
McVsftsn.exe
MsAutoPro.exe
nod32.exe
nod32krn.exe
nod32kui.exe
11.當標題中包含下列字串時,結束windows:
ANT
ANTI
AUTO
AVAS
AVAST
AVG
AVS
BUG
CLEA
COMPON
CONSOL
DETEC
ESSE
ESSET
KASP
KAV
KILL
MANAGEMENT
MCA
MCAFEE
MECHAN
NOD
NOD32
NOR
NORTON
PAND
PROC
REG
Registry Editor
REMOV
SCAN
SECUR
SUPPORT
SYMAN
TASK
TRIA
UNH
UNHO
UNLO
VIR
VIRUS
W32
12.然後關閉windows:
RegEdit_RegEdit
解決方案:
1.暫時關閉系統還原功能 (Windows Me/XP)
系統還原功能能?使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料
。
系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修
改
系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料
夾
中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復
受感染的檔案。
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows Me還原功能
關閉Windows XP還原功能
2.更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克
趨勢科技
3.執行全系統掃描
(a)執行防毒軟體,?設定?執行全系統掃描
(b)如果偵測到病毒,則採取防毒軟體所建議的步驟
(c)如果掃描出任何病毒,請?除病毒
(註)假如防毒?品無法移除受感染的檔案,請以安全模式開?,?再次執行掃毒程序,
移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
(Warning messages),因為此時威脅仍未完全解除,可忽略此警訊點選OK,
指令完全移除後,重新開機便不會再出現警訊,警告訊息呈現如下列所示:
Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME].
Make sure you typed the name correctly, and then try again.
To search for a file, click the Start button, and then click Search.
4.刪除登入檔內的值(value):
(a)滑鼠左鍵點選 開始\執行
(b)鍵入 regedit
(c)滑鼠左鍵點選 確定
(d)刪除下列登錄項目(registry entries):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"kb" =
"C:\WINDOWS\system32\drivers\AUTO.TXT"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command\"Default"
=
"C:\WINDOWS\pchealth\ERRORREP\QHEADLES\smss.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
"LimitSystemRestoreCheckpointing" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
"DisableMSI" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore\"DisableSR" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"HideClock" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoControlPanel" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoDrives" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"NoShellSearchButton" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
WinOldApp\"Disable" = "1"
(e)如有需要,恢復下列登錄項目(registry entries):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"Hidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"HideFileExt" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"ShowSuperHidden" = "1"
(f)恢復下列登錄項目值(values):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"Userinit" =
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\fonts\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\"Default"
=
"C:\WINDOWS\ime\imjp8_1\applets\lsass.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\"Default"
=
"C:\WINDOWS\pchealth\ERRORREP\QHEADLES\smss.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"Default" = "File Folder"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command\"Default"
=
"C:\WINDOWS\ime\imjp8_1\applets\lsass.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AeDebug\"Auto" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\
"Debugger" = "C:\WINDOWS\mui\smss.exe""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
"AlternateShell" = "C:\WINDOWS\mui\smss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"LegalNoticeCaption" = "KIBAKI TOSHA KIBAKI TENA"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"LegalNoticeText" = "KIBAKI FOR PRESIDENT VOTE KIBAKI FOR A BETTER
FUTURE. We need a
person who have thought of tomorrow and willing to salvage our country
Kibaki have
done so in the past five years. KIBAKI TOSHA TENA "
(g)離開登錄檔編輯器
結束LSASS.exe程序:
按Ctrl+Alt+Del會跑出工作管理員,點選" 處理程序 ",發現要結束以用戶名稱存在的
LSASS.exe程序是行不通的.會彈出該程序?系統程序無法結束的提醒框,此時請點選 "檢
視"->"選擇欄位" 勾選" PID(程序識別元)",在點擊"確定"。
找到以用戶名稱存在的LSASS.exe程序,記住其PID號碼.
點選 "開始"-> "執行" 輸入"CMD" [Enter],會出現"命令提示字元"視窗,請在視窗內輸
入 " ntsd -c q -p PID",假設你找到的PID號碼是1064 就請輸入"ntsd -c q -p
1064" [Enter],如此就可以結束LSASS.exe程序了.
---- 96c20
作者: FancyWing (TDICS) 看板: MeNetManager
標題: [情報] LSASS.EXE的問題
時間: Wed Dec 19 16:42:16 2007
�[1;31;40m請看完全文�[m
作者: hihiwhen (黃小噹) 看板: AntiVirus
標題: [中毒] LSASS.EXE的問題
時間: Tue Dec 18 11:51:21 2007
Po文請使用下列格式並將有要求的檔案附上,資料詳細才有辦法幫您處理:
1.問題描述:
最近學校網路好像遭受ARP的攻擊,也不知道是甚麼時候中毒的
後來工作管理員中就出現administrator的LSASS.EXE與SMSS.EXE的不正常的處理程序
使用process exploer中止那兩個程序
再使用efix與金山毒霸(之前有人推薦我使用的,不知道有沒有用...orz)
就成功解掉哪兩個不正常的程序
不過網路就不能用了...orz 掃毒程式也沒有更新...orz
也不能進安全模式...orz 大爆炸了...orz
所以附上掃描報告...麻煩大大們救救小弟...
2.報告連結:
請將掃描報告(log)貼於下方 (上面的全要)
Combofix :http://sun.cis.scu.edu.tw/~92a39/upload/26255.txt
Hijackthis:http://sun.cis.scu.edu.tw/~92a39/upload/26256.txt
SRENG :http://sun.cis.scu.edu.tw/~92a39/upload/26257.txt
掃毒報告 :
感恩...orz
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 134.208.2.236
;37m推 3mchildboym3m:金山毒霸我試過 有用 m 12/18 13:42
;37m推 3mkanggym3m:前陣子公司電腦被黑, 有木馬&病毒, 後來我去裝了金山毒霸後 m 12/19 15:22
;31m→ 3mkanggym3m:隔天 同事跟我說 mail server & web server 死機 =.= m 12/19 15:23
---
作者: atis (Atis) 看板: AntiVirus
標題: Re: [中毒] LSASS.EXE的問題
時間: Tue Dec 18 12:14:31 2007
※ 引述《hihiwhen (黃小噹)》之銘言:
(刪)
1.安全模式的登錄檔應該被修改了,所以進不去
看板上有沒大大可以修復的,我是抓舊的登錄檔覆蓋有問題的來解決
2.不能上網的問題,如果是winxp sp2的話,進command模式
輸入「netsh winsock reset」重置winsock看看
3.搜尋電腦中的檔案「~.exe」看有沒有,有的話全砍掉
4.再用掃毒軟體看c:\windows\system32\com底下還有沒有
LSASS.EXE、SMSS.EXE 有的話請刪除
(第三步沒做的話,會一直再產生這二個病毒)
5.這隻病毒不知什麼途徑進來的,本校也中被感染的很嚴重
被感染的電腦都有大部份沒有做windows的update
試過紅傘要開Unusual Runtime Compression Tools的診測才會抓到
McAfee則是一點反應都沒有、nod32好像也是、卡巴沒試過
combobox在執行完第三步,重開後,可以將這二隻有效的刪除
6.補充一下,一中毒中,它會將登錄檔中run底下的元件全刪掉
所以防毒就不會運作了,要注意一下
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.240.230.104
;37m推 3mhihiwhenm3m:馬上試看看 感謝 m 12/18 12:16
※ 編輯: atis 來自: 210.240.230.104 (12/18 12:17)
;37m推 3mdick0631m3m:卡巴有用。 m 12/18 14:27
---
作者: skywinds (小王子☆瑞) 看板: AntiVirus
標題: Re: [中毒] LSASS.EXE的問題
時間: Tue Dec 18 20:23:38 2007
※ 引述《atis (Atis)》之銘言:
: 5.這隻病毒不知什麼途徑進來的,本校也中被感染的很嚴重
(刪)
我因為這支木馬病毒已經重灌三次了
今天突然發現一個他可能的傳染途徑
我猜測應該是這樣所以我被感染..
我這裡也是學網
現在這支木馬瘋狂肆虐
今天中午重灌好之後莫名其妙的又中招
發現一個可能的原因就是
�[1;31;40m那時候我正在下載防火牆的更新檔(COMODO)�[m
�[1;31;40m結果下載不完全變成一個setup.exe的檔案�[m
跟要下載的檔名不一樣
本來我沒注意到所以就一樣開啟
結果防火牆就出現對LSASS.exe的阻擋了
而且防毒軟體全部被強制關閉打不開
剛剛重灌好,發現下載的檔名偶爾又會不一樣了
更新過的小紅傘已經會警告說setup.exe有毒
不知道究竟是哪裡出問題
我剛剛抓MSN的安裝檔也變成setup.exe
現在到底要怎麼辦呀...我可不想再重灌第四次
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 134.208.37.118
;31m→ 3mcoolhunterm3m:我某天下FUNP的檔也都這樣.... m 12/18 20:48
;31m→ 3mcoolhunterm3m:剛講完下載B大的懶人包就出現這樣的狀況.... m 12/18 21:10
;31m→ 3mcoolhunterm3m:網頁自動轉向 tp://121.15.220.104/setup.exe m 12/18 21:10
;31m→ 3mcoolhunterm3m:這樣是我自己中毒了 還是? 囧 m 12/18 21:11
;31m→ 3mskywindsm3m:不要開啟喔 我今天中午就是開了那個就中毒 m 12/18 21:15
;31m→ 3mskywindsm3m:看工作管理員裡面有沒有LSASS.exe這個檔吧... m 12/18 21:16
;37m推 3mcoolhunterm3m:有耶!! 不過只有一個 =ˇ= m 12/18 21:23
;37m推 3mlotoriam3m:會中這個是電腦右下角會有不知怎麼流過來的提示訊息 且是 m 12/18 23:31
;31m→ 3mlotoriam3m:簡體字的 似乎是會隨機將一段js碼加入到你瀏覽的網頁 點了 m 12/18 23:31
;31m→ 3mlotoriam3m:會開啟121.15.220.104的網頁 然後你去下載別的檔案 第一次 m 12/18 23:32
;31m→ 3mlotoriam3m:點會被竄改導向至下載setup.exe 點第二次會變成你想下載的 m 12/18 23:33
;31m→ 3mlotoriam3m:檔案 m 12/18 23:34
;37m推 3mhoswom3m:噢不!我今天就點了那個提示訊息,然後下載了setup.exe m 12/19 01:53
;31m→ 3mhoswom3m:對著它點了兩下,發現沒什麼反應後,就把它刪除了... m 12/19 01:54
;31m→ 3mhoswom3m:現在我的工作管理員裡面確實有LSASS.exe 小紅傘也被關掉 m 12/19 01:54
;31m→ 3mhoswom3m:怎麼辦Q口Q 雖然現在還沒有什麼問題出現..可是我很害怕阿! m 12/19 01:55
----
略
----
略
----
作者: atis (Atis) 看板: AntiVirus
標題: Re: [中毒] LSASS.EXE的問題
時間: Wed Dec 19 08:49:42 2007
1.用winxpe開機 (到GOOGLE搜尋會有載點)
2.刪除
c:\windows\ntfsus.exe
c:\windows\appand.exe
c:\windows\system32\com\LSASS.EXE (這隻會刪掉你的登錄檔run的項目和安全模式)
c:\windows\system32\com\SMSS.EXE
3.搜尋 ~.exe,有搜尋到的全刪
大部份藏在各user的啟動裡
4.安全模式怎麼救我還在研究QQ
我是到System Volume Information裡找舊的登錄檔覆蓋救回的
(詳細辦法,有需要的話我再寄給您)
5.目前測試可以擋這隻毒的有
卡巴、NOD32、McAfee,但只是擋
發病後再裝不知有沒有用,請其它大大補完
6.以上是目前我處理學校十幾個CASE以來最簡單乾淨的殺法
希望可以幫到你
※ 引述《hoswo (許農)》之銘言:
: *原文恕刪*
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.240.230.104
;37m推 3mpsionm3m:第3點不太懂 有.exe全刪? m 12/19 10:15
;37m推 3mlotoriam3m:只有~.exe,不是*.exe,會在啟動那邊出現 m 12/19 10:46
;37m推 3msearenatam3m:這支毒好煩人啊 囧 m 12/19 11:31
;31m→ 3msearenatam3m:卡巴線上掃不到? m 12/19 11:35
;37m推 3madhellkitem3m:找不太到winxpe的載點耶 能提供給我一下嗎? m 12/19 11:55
;37m推 3mjunornm3m:To樓上:這東西基本上不算是合法的喔... m 12/19 12:08
--
作者: junorn (威廉華勒斯) 看板: AntiVirus
標題: Re: [中毒] LSASS.EXE的問題
時間: Wed Dec 19 10:42:04 2007
下載來測試了一下
不過這毒應該是碰到虛擬系統會自炸?
把我的啟動項的東西都砍光之後就自動消失了...
一樣就是會產生%systemroot%\system32\com\lsass.exe
%systemroot%\system32\com\smss.exe
還有啟動內產生一個~.exe 注意有 ~ 符號
然後會做一個動作就是用cmd動作跑
rd %systemroot%\system32\com\lsass.exe /s /q
rd %systemroot%\system32\com\smss.exe /s /q
rd %systemroot%\system32\com\bak /s /q
也就表示用目錄建立防止檔案寫入的方式不見得有效
-----------------------------------------
----
作者: shooe () 看板: AntiVirus
標題: Re: [中毒] LSASS.EXE的問題
時間: Wed Dec 19 14:39:43 2007
※ 引述《atis (Atis)》之銘言:
: 3.搜尋 ~.exe,有搜尋到的全刪
: 大部份藏在各user的啟動裡
我昨天有砍完 不過電腦還是有lsass.exe(非system的)
: 5.目前測試可以擋這隻毒的有
: 卡巴、NOD32、McAfee,但只是擋
: 發病後再裝不知有沒有用,請其它大大補完
我有發病 看到我們學校有人說金山毒霸可以解決 因此就想說解看看吧
下載安裝完畢之後開始掃毒 沒想到電腦就恢復正常了
試用版網址: http://www.duba.com.hk/download.php
: ※ 引述《hoswo (許農)》之銘言:
: : *原文恕刪*
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 134.208.1.239
----
作者: coolhunter (hinaru) 看板: AntiVirus
標題: Re: [中毒] LSASS.EXE的問題
時間: Wed Dec 19 15:09:25 2007
發現他會在網頁植入這段
ttp://121.15.220.104/1.js
網頁會出現色情圖片和QQ廣告.....
接下來的下載動作就會被引導去下載
ttp://121.15.220.104/setup.exe
不過我還是很想知道....這樣就會中毒了嗎?
還是要執行setup.exe才會@@
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 134.208.38.19
;37m推 3mlotoriam3m:執行setup.exe才會吧, 我問過別人沒亂下載檔案, 但是瀏覽 m 12/19 15:20
;31m→ 3mlotoriam3m:網頁也會隨機出現嵌入至網頁的廣告, 似乎是被硬加上的js碼 m 12/19 15:21