查看: 2397|回复: 37
打印 上一主题 下一主题

最新木马发布公告。。。第一次看到卡巴的无能。。本人的无奈.....发完帖准备卸载卡巴

[复制链接]
跳转到指定楼层
楼主
发表于 2008-7-30 10:40:21 | 只看该作者 回帖奖励 |正序浏览 |阅读模式 来自:江西
最新木马发布公告。。。第一次看到卡巴的无能。。本人的无奈.....发完帖准备卸载卡巴
这毒太牛了刚开始一开机子卡巴还能检测出来但是清除不了..再重起的时候卡巴检测的时候是未发现木马程序Trojan.Win32.Agent.pow安全模式下查杀根本找不到...我去百度看了下原来这东西能劫持杀毒软件和浏览器..劫持浏览器还没什么..在文件夹的时候输入网址照样能进...但是用浏览器就很卡。。输入的时候2秒才出1字母~好多望站好几分钟都打不开...我准备去装个RX试试
到时候上捷报...

Trojan.Win32.Agent.pow和Adware.Win32.CPush.e都是瑞星报的病毒名,Trojan.Win32.Agent.pow这个样本目前卡巴还不能检测出来,令人气愤地是这个东西运行时要映像劫持我的explorer.exe,卡巴居然还在沉默。估计这是个国产的木马,在这一点上卡巴输给瑞星了。

      拿到的样本这两个是打在一个安装包里。Trojan.Win32.Agent.pow释放如下文件:
      C:\WINDOWS\system32\netdde32.exe
      C:\WINDOWS\netdde32.exe
      C:\Windows\KB908023.log (假装成微软补丁日志的可执行模块)
      将这三个文件都插入到exeplore.exe,然后映像劫持exeplore.exe,使之指向C:\WINDOWS\Sysem32\netdde32.exe。

      Adware.Win32.CPush.e释放文件:
      C:\Program Files\Common Files\CPUSH\cpush.dll
      将这个文件注册为ActiveX对象,并生成浏览器加载项[CAdLogic Object]。

      已经注入了explorer.exe的Trojan.Win32.Agent.pow将cpush.dll也注入到explorer.exe中。在注册表中直接手工删除或修改exeplorer.exe的映像劫持项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe)时,会马上被改回去。

      如果已经联网,Trojan.Win32.Agent.pow还会去下载一堆木马和流氓软件下来,其中包括一个假的QQ浏览器加载项:
      [腾讯QQ]
       {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
   


清除办法:
      由于这两个东西没有驱动和服务项保护,用最新的瑞星就基本能干掉了,测试中看到了瑞星修复了explorer.exe的映像劫持。Trojan.Win32.Agent.pow释放的三个文件提示要重启删除,因为它们已经注入到了explorer.exe进程中。如果由于某种原因explorer.exe的劫持没有修复过来,下次启动时就看不到桌面了,从任务管理器中运行也会出错。需要参考下面的手工方法。

      手工解决办法很简单——
      1、在任务管理器重结束explorer.exe
      2、在任务管理器中点“文件/新建任务”,运行regedit.exe,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe项
      3、在任务管理器中点“文件/新建任务”,点“浏览”,然后在打开文件对话框找到上述它们释放的文件,直接删除。然后找到c:\windows\explorer.exe,点打开。
      4、运行360安全卫士(或瑞星卡卡,或SREng),清除浏览器加载项[CAdLogic Object]和[腾讯QQ]        {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll,


[ 本帖最后由 qaz5629462 于 2008-7-30 10:46 编辑 ]

评分

参与人数 3人气 +3 收起 理由
youlaoshu + 1
Orochimaru + 1
浪一回 + 1

查看全部评分

收藏收藏 分享淘帖 支持支持 反对反对 赞赞(0)
【开云手机版登录入口近期活动汇总】
回复

使用道具 举报

38
发表于 2008-7-30 13:17:39 | 只看该作者 来自:广东
卡巴是一个防御型

你下个360杀毒..新出的
回复 支持 反对

使用道具 举报

37
发表于 2008-7-30 13:14:47 | 只看该作者 来自:福建
你卸不卸关我们鸟屎啊?
回复 支持 反对

使用道具 举报

36
发表于 2008-7-30 13:00:16 | 只看该作者 来自:北京
不装杀毒软件,弄个虚拟机,安全得很
回复 支持 反对

使用道具 举报

头像被屏蔽
35
 楼主| 发表于 2008-7-30 12:10:43 | 只看该作者 来自:江西
提示: 该帖被管理员或版主屏蔽
回复 支持 反对

使用道具 举报

34
发表于 2008-7-30 11:48:32 | 只看该作者 来自:北京
好像杀毒软件都是不能兼容的
回复 支持 反对

使用道具 举报

33
发表于 2008-7-30 11:37:45 | 只看该作者 来自:山东
强帖留名
回复 支持 反对

使用道具 举报

32
发表于 2008-7-30 11:32:52 | 只看该作者 来自:北京
LZ直接copy过来的
回复 支持 反对

使用道具 举报

头像被屏蔽
31
发表于 2008-7-30 11:30:55 | 只看该作者 来自:江苏
提示: 该帖被管理员或版主屏蔽
回复 支持 反对

使用道具 举报

30
 楼主| 发表于 2008-7-30 11:30:43 | 只看该作者 来自:江西
已定购产品 到期时间 产品金额
瑞星杀毒+防火墙 2008-08-27 02:44:46 12元/月
回复 支持 反对

使用道具 举报

29
发表于 2008-7-30 11:27:17 | 只看该作者 来自:浙江
回复 支持 反对

使用道具 举报

28
发表于 2008-7-30 11:25:19 | 只看该作者 来自:广东
装个驱逐舰试试
回复 支持 反对

使用道具 举报

27
发表于 2008-7-30 11:22:18 | 只看该作者 来自:广西
什么也不装!装也白装!都垃圾
回复 支持 反对

使用道具 举报

26
发表于 2008-7-30 11:22:06 | 只看该作者 来自:浙江
沙发
回复 支持 反对

使用道具 举报

头像被屏蔽
25
发表于 2008-7-30 11:21:15 | 只看该作者 来自:浙江
提示: 该帖被管理员或版主屏蔽
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则