鐵之狂傲

標題: 隱藏式木馬!掃毒程式掃瞄不出來 [列印本頁]
作者: boy69731    時間: 07-5-15 21:51
標題: 隱藏式木馬!掃毒程式掃瞄不出來
有 些 木 馬 程 式 是 隱 藏 檔 官 方 的 掃 駭 程 式 、 P C 、 鐵 賽 、 諾 頓 、 都 是 掃 不 出 來 的 。

>★)) 1 惡 意 病 毒 : hookit 『 鍵 盤 側 錄 程 式 』
視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 hookit
查 詢 那 邊 先 找 C 槽 然 後 d . e . f ( 看 你 有 幾 個 都 要 找 一 次 ) , 然 後 按 立 即 搜 尋 讓 它 搜 尋 一 下 , 如 有 找 到 此 檔 , 代 表 你 的 電 腦 內 有 『 鍵 盤 側 錄 程 式 』 。
♥ 處 理 方 式 :
對 著 他 點 一 下 , 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。

>★)) 2 惡 意 程 式 : smcsvr 『 木 馬 程 式 』
視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 smcsvr
如 有 找 到 此 檔 則 代 表 您 中 了 『 木 馬 』, 找 到 smcsvr 按 Delete 是 無 法 刪 除 的 , 因 為 它 會 說 他 正 在 執 行 。
♥ 處 理 方 式 :
開 始 → 執 行 → 輸 入 msconfig → 按 確 定 → 選 擇 最 右 邊 的 『 啟 動 』 → 把 SMCsvr.exe ( 有 時 候 有 好 幾 個 ) 打 勾 取 消 ( 然 後 先 不 要 按 確 定 或 是 套 用 ) , 到 視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 smcsvr →
然 後 搜 尋 smcsvr 找 到 後 把 它 刪 除 , 需 重 新 開 機 。

>★)) 3 惡 意 程 式 : peep
此 為 木 馬 程 式 則 用 做 遠 端 遙 控 並 可 傳 遞 受 感 染 之 電 腦 內 任 何 檔 案 資 料 。

用 同 樣 步 驟 把 換 成 poop 再 搜 尋 一 次 , 通 常 會 存 放 在 c:\winnt\system32 目 錄 之 下 。
♥ 處 理 方 式 :
找 到 的 檔 案 不 在 正 常 目 錄 下 的 都 按 Delete 刪 除 掉 , ( 正 常 之 explorer.exe 是 存 放 在 c:\winnt 之 目 錄 之 下 ) , peep.exe 木 馬 程 式 則 用 做 遠 端 遙 控 並 可 傳 遞 受 感 染 之 電 腦 內 任 何 檔 案 資 料 。

>★)) 4 惡 意 程 式 : service
於 網 路 連 線 後 以 T C P 方 式 連 線 至 跳 版 主 機 之 5 3 port , 一 般 5 3 port 為 D N S 之 用 。

用 同 樣 步 驟 把 換 成 service 再 搜 尋 一 次 , 常 之 系 統 檔 為 services.exe , 存 放 於 c:\winnt\system32 目 錄 之 下 , 若 電 腦 有 service 或 非 位 於 c:\winnt\system32 目 錄 下 , 檔 案 則 可 能 受 到 感 染 。
♥ 處 理 方 式 :
把 不 在 正 常 目 錄 下 的 檔 案 , 對 著 他 點 一 下 , 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。

>★)) 5 惡 意 程 式 : iexplore
該 程 式 改 編 自 知 名 偷 密 碼 程 式 之 passwordspy 、 Backdoor.PowerSpider 及 PWSteal.Netsnake , 為 知 名 收 集 密 碼 資 訊 程 式 的 變 種 , 會 蒐 集 受 害 者 所 輸 入 的 帳 號 密 碼 後 以 電 子 郵 件 方 式 傳 送 至 中 國 大 陸 的 某 個 郵 件 主 機 。

用 同 樣 步 驟 把 換 成 iexplore 再 搜 尋 一 次 , iexplore.exe 被 置 於 c:\windows\system32 目 錄 中 ( 正 常 位 於 c:\programFiles\InternetExplorer )
♥ 處 理 方 式 :
把 不 在 正 常 目 錄 下 的 檔 案 , 對 著 他 點 一 下 , 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。

>>>《 特 別 注 意 》<<<
其 他 異 常 程 式 :
包 括 exec3.exe 、 r_server.exe 、 hiderun.exe 、
gatec.exe 、 gates.exe 、 gatew.exe 、 nc1.exe 、
radmin.exe 、 hbulot.exe
等 已 知 檔 名 之 惡 意 程 式 , 另 需 人 工 檢 核 是 否 有 異 常 程 式 , 如 「 *.bat 」 及 「 *.reg 」 通 常 為 駭 客 入 侵 後 安 裝 惡 意 程 式 使 用 之 檔 案 , 及 pslist.exe 、 pskill.exe 、 pulist.exe 等 p 開 頭 之 檔 案 『 則 為 駭 客 工 具 檔 案 』 , 以 上 檔 案 通 常 存 放 於 c:\winnt\system32 目 錄 之 下 。

轉貼處:http://tw.myblog.yahoo.com/abc-060809/article?mid=2740&prev=-1&next=2738

[ 本文最後由 boy69731 於 07-5-31 11:56 AM 編輯 ]
作者: jerry055334    時間: 07-5-16 19:41
這些會不會砍到電腦原有的程式呀?

會不會是驅動程式???
作者: 幻影神兵    時間: 07-5-16 22:15
這算是舊資料了。

現在這種大多都會被防毒軟體查殺掉,當然有少數可能沒注意到或者被加工過讓防毒軟體辨識不出來,這才要多注意。

基本上木馬病毒萬萬種,時時都會有人改成變種的,主要還是要靠使用者的警覺心啊。
作者: BECKMING    時間: 07-5-31 11:50
我有搜尋到「iexplore」在我電腦的「C:\WINNT\Help」以及「C:\WINNT\Prefetch」裡...

不知是不是惡意程式...@@?
作者: turnX    時間: 07-6-1 15:47
原文由幻影神兵 於 07-5-16 10:15 PM 發表
這算是舊資料了。
現在這種大多都會被防毒軟體查殺掉,當然有少數可能沒注意到或者被加工過讓防毒軟體辨識不出來,這才要多注意。
基本上木馬病毒萬萬種,時時都會有人改成變種的,主要還是要靠使用者的警覺心啊。 ...


那種加工他們好像稱為加殼技術?,真是令人難以理解!
(這樣就可以逃過查殺,真神奇!)
作者: 幻影神兵    時間: 07-6-1 22:17
原文由BECKMING 於 07-5-31 11:50 AM 發表
我有搜尋到「iexplore」在我電腦的「C:\WINNT\Help」以及「C:\WINNT\Prefetch」裡...

不知是不是惡意程式...@@?

iexplore還是iexplorer

前者的話請注意一下
放在Help,可能是假的
掃毒後在確認

至於後面Prefetch是預讀資料夾
可以用工具清除,這個資料夾的東西累積太多會讓電腦速度稍微緩慢
CCleaner可以清除預讀資料夾的內容

-----
我剛剛搜尋了一下
God ... 放在help的檔案 ...

不是exe檔啦=  ="
那些都是正常的檔案 ...

[ 本文最後由 幻影神兵 於 07-6-1 10:25 PM 編輯 ]
作者: 幻影神兵    時間: 07-6-1 22:19
原文由turnX 於 07-6-1 03:47 PM 發表


那種加工他們好像稱為加殼技術?,真是令人難以理解!
(這樣就可以逃過查殺,真神奇!)


並不是所有殼都能逃過查殺
很多防毒軟體也有解殼系統
nod32最可以作為範例,很多殼都躲不過它

殼說穿了只是換個編碼方式
只要找到是什麼殼裝的,然後用同樣的加殼器拆掉就變成原始檔了
作者: 魔幻獵人    時間: 07-7-3 23:16
我找到的第四種的,真的可以刪嗎?:困惑
作者: yo暗殺    時間: 07-8-21 09:26
我試過第五種  名稱是:iexplore   在c:\VTPFiles     我想刪除  但是說會永遠無法使用某些編輯    我不是電腦專家  請問大大這樣有問題嗎

圖片

圖片

作者: 水羽    時間: 07-8-21 19:13
用執行打第五種出現網頁去c:\windows\system32 只看到iexpress.exe沒有iexplore.exe
在c:\programFiles\InternetExplorer 有看到iexplore.exe
所以我的沒事對吧...1到4項都沒搜尋到....

[ 本文最後由 TSUBASA672302 於 07-10-23 09:21 AM 編輯 ]
作者: 幻影神兵    時間: 07-8-22 15:52
原文由yo暗殺 於 07-8-21 09:26 AM 發表
我試過第五種  名稱是:iexplore   在c:\VTPFiles     我想刪除  但是說會永遠無法使用某些編輯    我不是電腦專家  請問大大這樣有問題嗎


我不知道那是什麼

不過我知道瀏覽器名稱是 iexplorer
作者: boy69731    時間: 07-10-23 00:02
標題: 這隻木馬還真麻煩-Kavo.exe-
1.先執行cmd呼叫「命令執行視窗」並準備超強砍檔工具killbox(沒有也沒關係)

【步驟2~4請在命令執行視窗裡下指令】

2.執行attrib -A -S -H -R x:\autorun.inf

     執行attrib -A -S -H -R x:\ntdelect.com

     執行attrib -A -S -H -R c:\windows\system32\kavo*.*  

     注意:x代表自己的磁碟機,所有分割的磁碟機都要

3.del c:\windows\system32\kavo.exe

     del x:\autorun.inf

     del x:\ntdelect.com

     注意:x代表自己的磁碟機,所有分割的磁碟機都要

     注意:不要砍錯檔!ntdetect是winxp系統檔,ntde『l』ect才是木馬!

4.用attrib x:\autorun.inf和attrib x:\ntdelect.com檢查所有磁碟機是否還有重生的餘孽

5.執行regedit

6.找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run裡有一個
   
    執行c:\windows\system32\kavo.exe的值,砍了它,別客氣!

7.找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL裡的一個值CheckedValue把它改成1

8. 用killbox將c:\windows\system32\kavo0.dll 刪除(選重開機後刪除),如果沒有killbox,就先重開機,在跑完BIOS畫面後一直按F8,選擇進入「安全模式」就可以刪除了

9.成功刪除 c:\windows\system32\kavo0.dll 後,再檢查一次第7步驟的值有沒有改成功

--------------------------------------------------------------------------------

再重開機後試試看能不能「顯示隱藏檔」(本來木馬在的時候,就算選了顯示還是會跳回去),
如果可以就是大功告成了!

如果還是不放心,就看看c:\windows\system32裡還有沒有kavo開頭的檔案,並利用顯示隱藏檔的方式,檢查各分割磁區裡有沒有autorun.inf和ntdelect.com這兩個檔

後記:本機解毒成功後,請小心自己的「隨身碟」,也許隨身碟裡也藏有autorun.inf和ntdelect.com這兩個檔,如果這時把隨身碟插進主機......再來一次吧!

補充說明:如果不確定自己的隨身碟有沒有東西,在插入隨身碟後,不要對隨身碟的磁區點擊兩下開啟。用視窗鍵(左下角alt的隔壁)+E,呼叫檔案總管,然後打開所有隱藏檔,在檔案總管的左邊分割視窗選隨身碟的磁區,然後到右邊分割視窗刪除木馬。千萬不要『點兩下開啟』!!

Auto Run 病毒自動清除執行檔

轉貼處:http://plog.tcc.edu.tw/post/515/36535

[ 本文最後由 boy69731 於 07-10-23 12:10 AM 編輯 ]
作者: bananalu    時間: 08-6-12 09:43
感謝告知@@
又多了一些認識



歡迎光臨 鐵之狂傲 (https://gamez.com.tw/)