廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 18675 個閱讀者
 
<< 上頁  1   2   3  下頁 >>(共 3 頁)
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
LostDream
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x6
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

跑個EFix Log上來提供分析吧。

一、下載工具Efix:http://reinfors.b...t.com/

二、執行Efix程式直到圖形化介面出來,點擊「開始」後程式將開始全自動運行;中間出現錯誤訊息請點「確定」略過。

三、待程式執行完畢會產生一份Log.txt,請將其上傳至Sendspace空間提供分析:http://star000star.myweb.hine...endspace.htm


獻花 x0 回到頂端 [10 樓] From:台灣中華電信 | Posted:2010-07-21 13:50 |
ebolaman 手機 會員卡
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎

級別: 副版主 該用戶目前不上站
版區: 程式設計
推文 x38 鮮花 x458
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用 f3505413 於 2010-07-21 11:27 發表的 : 到引言文
這是我用HiJackThis掃描的log


比較可疑處理程序的是 SiSPower
不過我不確定這是不是 SIS 的什麼程式  另外一個 SISUSB... 什麼的就是
而產生這個 LOG 時你該不會在安裝 ADOBE 吧? 不然一大堆 msiexec (安裝程式) 感覺挺怪異的

你先用 AutoRuns 搜尋 SISPower
把他所有相關的點掉
並且去工作管理員將它關閉
找出檔案在哪,刪除他
重開機試試

還有一種方法是去處理程序的路徑找程式   看看他們的建立時間是不是剛好在你安裝那個遊戲的時候
是的話就砍掉吧(砍掉前也是要備分)

底下是我推測出來的惡意根源的更改首頁方式
1. 打開網頁不是你要的首頁,但是按下首頁的鍵卻會回到你要的首頁  >> 只有改IE捷徑目標,再去看看吧
2. 呈上,但是按下首頁還是同一頁 >> 去看看 IE 選項的首頁。如果是被惡改的那麼有東西改了你的登錄檔
如果是你設的首頁,看來有奇怪的 IE 插件偷改

然後等你修復完成,把 IE 關掉重開,看看一打開的首頁是不是你先前改的
假如是那通常還是有惡意程式偷改
假如不是就有點難判斷了...


My BOINC stats :

獻花 x0 回到頂端 [11 樓] From:臺灣中華電信 | Posted:2010-07-21 21:21 |
LostDream
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x6
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

現在首頁綁架的手法已經沒那麼單純了,改捷徑目標的方式是二三月的時候的花招;同樣的效果不同的實現方式,解法自然也不同。只要有處理經驗的都會知道HijackThis根本看不出什麼,建議先等EFix Log上來在做討論吧。
刪除SIS相關建議也緩緩,手動的刪除法刪錯了可沒備份的…


獻花 x0 回到頂端 [12 樓] From:台灣中華電信 | Posted:2010-07-22 01:31 |
f3505413
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用 ebolaman 於 2010-07-21 21:21 發表的 : 到引言文


比較可疑處理程序的是 SiSPower
不過我不確定這是不是 SIS 的什麼程式  另外一個 SISUSB... 什麼的就是
而產生這個 LOG 時你該不會在安裝 ADOBE 吧? 不然一大堆 msiexec (安裝程式) 感覺挺怪異的

你先用 AutoRuns 搜尋 SISPower
把他所有相關的點掉
並且去工作管理員將它關閉
找出檔案在哪,刪除他
重開機試試

還有一種方法是去處理程序的路徑找程式   看看他們的建立時間是不是剛好在你安裝那個遊戲的時候
是的話就砍掉吧(砍掉前也是要備分)

底下是我推測出來的惡意根源的更改首頁方式
1. 打開網頁不是你要的首頁,但是按下首頁的鍵卻會回到你要的首頁  >> 只有改IE捷徑目標,再去看看吧
2. 呈上,但是按下首頁還是同一頁 >> 去看看 IE 選項的首頁。如果是被惡改的那麼有東西改了你的登錄檔
如果是你設的首頁,看來有奇怪的 IE 插件偷改

然後等你修復完成,把 IE 關掉重開,看看一打開的首頁是不是你先前改的
假如是那通常還是有惡意程式偷改
假如不是就有點難判斷了...


不用緊張~~ SIS = 汐統顯示卡....     
他是我的破顯示卡       (我就知道 沒聽過吼?? 還內建顯卡勒)


獻花 x0 回到頂端 [13 樓] From:台灣中華電信 | Posted:2010-07-22 09:46 |
f3505413
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用 LostDream 於 2010-07-22 01:31 發表的 : 到引言文
現在首頁綁架的手法已經沒那麼單純了,改捷徑目標的方式是二三月的時候的花招;同樣的效果不同的實現方式,解法自然也不同。只要有處理經驗的都會知道HijackThis根本看不出什麼,建議先等EFix Log上來在做討論吧。
刪除SIS相關建議也緩緩,手動的刪除法刪錯了可沒備份的…



EFix也不錯
之前很多像是ask.com    go2000      都被EFix 用掉了!!!


獻花 x0 回到頂端 [14 樓] From:台灣中華電信 | Posted:2010-07-22 09:49 |
f3505413
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片



獻花 x0 回到頂端 [15 樓] From:台灣中華電信 | Posted:2010-07-22 09:56 |
LostDream
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x6
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

先這樣跑一次看看好了,如果還是有問題再上傳LOG文件,做更多檢查吧。

一、下載工具Efix:http://reinfors.b...t.com/

二、執行Efix,並且確保網路通順;待EF圖形化介面出來後,點選「自訂腳本」。

三、將以下文字腳本「完整複製」貼到EF空白輸入處,後按下「開始」,EF將全自動運行,請遵守程式指示、不要中斷,除非超過60分鐘。
複製程式
Kill File::
C:\WINDOWS\system32\drivers\lnsjvi.sys

del Driver::
CFRMD
lnsjvi

RESET REG::
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]

mod reg::
[-HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
@="捷徑"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID]
@="lnkfile"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]

IERESET::

LNKFILE RESET::

REBOOT::

.
四、自動重開之後看看情況如何?如果有捷徑壞掉的問題別太緊張,可以做修正的,不過我猜是不會。


獻花 x1 回到頂端 [16 樓] From:台灣中華電信 | Posted:2010-07-22 16:49 |
f3505413
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

我重開之後 還是qq5
掃描報告LOG.txt 我去看 也有qq5在裡面
上傳上來了


獻花 x0 回到頂端 [17 樓] From:台灣中華電信 | Posted:2010-07-23 09:22 |
LostDream
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x6
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

那個HKCU StarPage設置倒是其次,為什麼有可疑Drivers一直冒出來才是問題。
改用CF做個處理、檢查吧,操作上可能得先關閉防毒軟件,請依程式指示操作。

一、準備安全工具●Combofix http://reinfors.googlepag...ofix1.html

二、完整複製以下文字,貼上去記事本選擇「另存新檔」、編碼確認為「ANSI」、檔案名稱為「CFScript.txt」。
確認內容無誤,並且存檔後將CFScript.txt拖曳進去Combofix,如圖所示。

複製程式
killall::

rootkit::
C:\WINDOWS\system32\drivers\lnsjvi.sys
C:\WINDOWS\system32\drivers\ifr.sys

Driver::
CFRMD
lnsjvi
ifr

reglock::
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
[HKEY_CLASSES_ROOT\.lnk]
[HKEY_CLASSES_ROOT\lnkfile]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

mod reg::
[-HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
[-HKEY_CLASSES_ROOT\.lnk]
[-HKEY_CLASSES_ROOT\lnkfile]
[-HKEY_LOCAL_MACHINE\~\Explorer\Browser Helper Objects\{01443AEC-0FD1-40fd-9C87-E93D1494C233}]
[-HKEY_LOCAL_MACHINE\~\Explorer\Browser Helper Objects\{2D90D33C-DE76-42D0-9040-E4466DDC24AC}]
[-HKEY_LOCAL_MACHINE\~\Explorer\Browser Helper Objects\{889D2FEB-5411-4565-8998-1DD2C5261283}]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
@="捷徑"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID]
@="lnkfile"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]
[HKEY_CLASSES_ROOT\lnkfile]
@="捷徑"
"EditFlags"=dword:00000001
"IsShortcut"=""
"NeverShowExt"=""
[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\lnkfile\shellex]
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile]
@="捷徑"
"EditFlags"=dword:00000001
"IsShortcut"=""
"NeverShowExt"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\PropertySheetHandlers]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
[HKEY_CLASSES_ROOT\.lnk]
@="lnkfile"
[HKEY_CLASSES_ROOT\.lnk\ShellEx]
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk]
@="lnkfile"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="[url]http://tw.yahoo.com/"[/url]
"Start Page"="[url]http://tw.yahoo.com/"[/url]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Local Page"="[url]http://tw.yahoo.com/"[/url]
"Start Page"="[url]http://tw.yahoo.com/"[/url]

REBOOT::

.
三、自動重開之後將產生的LOG文件上傳上來。

*備註:自己把腳本裡頭最下面的這部份 [url][/url]去掉,不然註冊進去怕會有問題;論壇系統一直自動加上去…


獻花 x0 回到頂端 [18 樓] From:台灣中華電信 | Posted:2010-07-23 15:43 |
f3505413
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

它產生的LOG



產生LOG之後   跑出這個跳窗



獻花 x0 回到頂端 [19 樓] From:台灣中華電信 | Posted:2010-07-24 16:34 |

<< 上頁  1   2   3  下頁 >>(共 3 頁)
首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.103237 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言