广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 18673 个阅读者
 
<< 上页  1   2   3  下页 >>(共 3 页)
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
LostDream
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

跑个EFix Log上来提供分析吧。

一、下载工具Efix:http://reinfors.b...t.com/

二、执行Efix程式直到图形化介面出来,点击「开始」后程式将开始全自动运行;中间出现错误讯息请点「确定」略过。

三、待程式执行完毕会产生一份Log.txt,请将其上传至Sendspace空间提供分析:http://star000star.myweb.hine...endspace.htm


献花 x0 回到顶端 [10 楼] From:台湾中华电信 | Posted:2010-07-21 13:50 |
ebolaman 手机 会员卡
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖

级别: 副版主 该用户目前不上站
版区: 程式设计
推文 x38 鲜花 x458
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用 f3505413 于 2010-07-21 11:27 发表的 : 到引言文
这是我用HiJackThis扫描的log


比较可疑处理程序的是 SiSPower
不过我不确定这是不是 SIS 的什么程式  另外一个 SISUSB... 什么的就是
而产生这个 LOG 时你该不会在安装 ADOBE 吧? 不然一大堆 msiexec (安装程式) 感觉挺怪异的

你先用 AutoRuns 搜寻 SISPower
把他所有相关的点掉
并且去工作管理员将它关闭
找出档案在哪,删除他
重开机试试

还有一种方法是去处理程序的路径找程式   看看他们的建立时间是不是刚好在你安装那个游戏的时候
是的话就砍掉吧(砍掉前也是要备分)

底下是我推测出来的恶意根源的更改首页方式
1. 打开网页不是你要的首页,但是按下首页的键却会回到你要的首页  >> 只有改IE捷径目标,再去看看吧
2. 呈上,但是按下首页还是同一页 >> 去看看 IE 选项的首页。如果是被恶改的那么有东西改了你的登录档
如果是你设的首页,看来有奇怪的 IE 插件偷改

然后等你修复完成,把 IE 关掉重开,看看一打开的首页是不是你先前改的
假如是那通常还是有恶意程式偷改
假如不是就有点难判断了...


My BOINC stats :

献花 x0 回到顶端 [11 楼] From:台湾中华电信 | Posted:2010-07-21 21:21 |
LostDream
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

现在首页绑架的手法已经没那么单纯了,改捷径目标的方式是二三月的时候的花招;同样的效果不同的实现方式,解法自然也不同。只要有处理经验的都会知道HijackThis根本看不出什么,建议先等EFix Log上来在做讨论吧。
删除SIS相关建议也缓缓,手动的删除法删错了可没备份的…


献花 x0 回到顶端 [12 楼] From:台湾中华电信 | Posted:2010-07-22 01:31 |
f3505413
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x1
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用 ebolaman 于 2010-07-21 21:21 发表的 : 到引言文


比较可疑处理程序的是 SiSPower
不过我不确定这是不是 SIS 的什么程式  另外一个 SISUSB... 什么的就是
而产生这个 LOG 时你该不会在安装 ADOBE 吧? 不然一大堆 msiexec (安装程式) 感觉挺怪异的

你先用 AutoRuns 搜寻 SISPower
把他所有相关的点掉
并且去工作管理员将它关闭
找出档案在哪,删除他
重开机试试

还有一种方法是去处理程序的路径找程式   看看他们的建立时间是不是刚好在你安装那个游戏的时候
是的话就砍掉吧(砍掉前也是要备分)

底下是我推测出来的恶意根源的更改首页方式
1. 打开网页不是你要的首页,但是按下首页的键却会回到你要的首页  >> 只有改IE捷径目标,再去看看吧
2. 呈上,但是按下首页还是同一页 >> 去看看 IE 选项的首页。如果是被恶改的那么有东西改了你的登录档
如果是你设的首页,看来有奇怪的 IE 插件偷改

然后等你修复完成,把 IE 关掉重开,看看一打开的首页是不是你先前改的
假如是那通常还是有恶意程式偷改
假如不是就有点难判断了...


不用紧张~~ SIS = 汐统显示卡....     
他是我的破显示卡       (我就知道 没听过吼?? 还内建显卡勒)


献花 x0 回到顶端 [13 楼] From:台湾中华电信 | Posted:2010-07-22 09:46 |
f3505413
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x1
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用 LostDream 于 2010-07-22 01:31 发表的 : 到引言文
现在首页绑架的手法已经没那么单纯了,改捷径目标的方式是二三月的时候的花招;同样的效果不同的实现方式,解法自然也不同。只要有处理经验的都会知道HijackThis根本看不出什么,建议先等EFix Log上来在做讨论吧。
删除SIS相关建议也缓缓,手动的删除法删错了可没备份的…



EFix也不错
之前很多像是ask.com    go2000      都被EFix 用掉了!!!


献花 x0 回到顶端 [14 楼] From:台湾中华电信 | Posted:2010-07-22 09:49 |
f3505413
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x1
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片



献花 x0 回到顶端 [15 楼] From:台湾中华电信 | Posted:2010-07-22 09:56 |
LostDream
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

先这样跑一次看看好了,如果还是有问题再上传LOG文件,做更多检查吧。

一、下载工具Efix:http://reinfors.b...t.com/

二、执行Efix,并且确保网路通顺;待EF图形化介面出来后,点选「自订脚本」。

三、将以下文字脚本「完整复制」贴到EF空白输入处,后按下「开始」,EF将全自动运行,请遵守程式指示、不要中断,除非超过60分钟。
复制程式
Kill File::
C:\WINDOWS\system32\drivers\lnsjvi.sys

del Driver::
CFRMD
lnsjvi

RESET REG::
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]

mod reg::
[-HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
@="捷径"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID]
@="lnkfile"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]

IERESET::

LNKFILE RESET::

REBOOT::

.
四、自动重开之后看看情况如何?如果有捷径坏掉的问题别太紧张,可以做修正的,不过我猜是不会。


献花 x1 回到顶端 [16 楼] From:台湾中华电信 | Posted:2010-07-22 16:49 |
f3505413
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x1
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

我重开之后 还是qq5
扫描报告LOG.txt 我去看 也有qq5在里面
上传上来了


献花 x0 回到顶端 [17 楼] From:台湾中华电信 | Posted:2010-07-23 09:22 |
LostDream
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

那个HKCU StarPage设置倒是其次,为什么有可疑Drivers一直冒出来才是问题。
改用CF做个处理、检查吧,操作上可能得先关闭防毒软件,请依程式指示操作。

一、准备安全工具●Combofix http://reinfors.googlepag...ofix1.html

二、完整复制以下文字,贴上去记事本选择「另存新档」、编码确认为「ANSI」、档案名称为「CFScript.txt」。
确认内容无误,并且存档后将CFScript.txt拖曳进去Combofix,如图所示。

复制程式
killall::

rootkit::
C:\WINDOWS\system32\drivers\lnsjvi.sys
C:\WINDOWS\system32\drivers\ifr.sys

Driver::
CFRMD
lnsjvi
ifr

reglock::
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
[HKEY_CLASSES_ROOT\.lnk]
[HKEY_CLASSES_ROOT\lnkfile]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

mod reg::
[-HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
[-HKEY_CLASSES_ROOT\.lnk]
[-HKEY_CLASSES_ROOT\lnkfile]
[-HKEY_LOCAL_MACHINE\~\Explorer\Browser Helper Objects\{01443AEC-0FD1-40fd-9C87-E93D1494C233}]
[-HKEY_LOCAL_MACHINE\~\Explorer\Browser Helper Objects\{2D90D33C-DE76-42D0-9040-E4466DDC24AC}]
[-HKEY_LOCAL_MACHINE\~\Explorer\Browser Helper Objects\{889D2FEB-5411-4565-8998-1DD2C5261283}]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
@="捷径"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID]
@="lnkfile"
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex]
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]
[HKEY_CLASSES_ROOT\lnkfile]
@="捷径"
"EditFlags"=dword:00000001
"IsShortcut"=""
"NeverShowExt"=""
[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\lnkfile\shellex]
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile]
@="捷径"
"EditFlags"=dword:00000001
"IsShortcut"=""
"NeverShowExt"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\PropertySheetHandlers]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
[HKEY_CLASSES_ROOT\.lnk]
@="lnkfile"
[HKEY_CLASSES_ROOT\.lnk\ShellEx]
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk]
@="lnkfile"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="[url]http://tw.yahoo.com/"[/url]
"Start Page"="[url]http://tw.yahoo.com/"[/url]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Local Page"="[url]http://tw.yahoo.com/"[/url]
"Start Page"="[url]http://tw.yahoo.com/"[/url]

REBOOT::

.
三、自动重开之后将产生的LOG文件上传上来。

*备注:自己把脚本里头最下面的这部份 [url][/url]去掉,不然注册进去怕会有问题;论坛系统一直自动加上去…


献花 x0 回到顶端 [18 楼] From:台湾中华电信 | Posted:2010-07-23 15:43 |
f3505413
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x1
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

它产生的LOG



产生LOG之后   跑出这个跳窗



献花 x0 回到顶端 [19 楼] From:台湾中华电信 | Posted:2010-07-24 16:34 |

<< 上页  1   2   3  下页 >>(共 3 页)
首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.065618 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言