荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: chaike (CIEweigan), 信区: Virus
标  题: 实战:手工+工具=狙杀QQ尾巴病毒
发信站: 荔园晨风BBS站 (Fri Jul 21 19:06:27 2006), 站内

    昨天到紫薇修电脑,结果修完回来后,首先发觉把钥匙丢在了紫薇,然后又发觉忘了帮
我们可爱的jjdoreen同学弄好QQ了。大头虾一个。今天一上Q,jjdoreen同学马上发来了一
个“富豪包女星开“淫乱派对” 及报价大爆光”的东西(QQ病毒)给我,好诱人的东西,我
抵挡不住诱惑,望了一下四周,发觉没人,于是二话没说就接了下来。接着就开始准备独自
欣赏..
    实战:
    首先在运行中进入DOS,转到c:\windows\system32\下,敲入命令dir *.dll>
D:\dll.txt &dir *.exe>D:\exe.txt,回车,然后导出了注册表,命名为1.reg。
    关掉系统还原和卡吧后,打开病毒文件,接着运行,等病毒文件消失后,再进入DOS,
键入dir *.dll>D:\dll1.txt &dir *.exe>D:\exe1.txt,转到D:\,键入fc dll.txt
dll1.txt>dll2.txt,回车
再键入fc exe.txt exe1.txt>exe2.txt,回车。

dll2.txt的内容如下(省略不必要的部分):
***** dll.txt
2006-01-20  08:00           591,360 ntdll.dll
2006-01-20  08:00            67,072 ntdsapi.dll
***** DLL1.TXT
2006-01-20  08:00           591,360 ntdll.dll
2005-12-01  12:01            23,514 ntdox.dll
2006-01-20  08:00            67,072 ntdsapi.dll
*****

***** dll.txt
2006-01-20  08:00            26,112 ntdsbcli.dll
2006-01-20  08:00            43,520 ntlanman.dll
***** DLL1.TXT
2006-01-20  08:00            26,112 ntdsbcli.dll
2006-07-21  17:30             2,048 ntinit.dll
2006-01-20  08:00            43,520 ntlanman.dll
*****

exe2.txt的内容不变,晕,看来它生成的EXE文件不在这个目录下

在DOS下直接del ntdox.dll,提示正在被使用,ntinit.dll也一样,怎么办,本来想想到安
全模式下看看删不删得了,但我手头上有一个叫UNLOCKER的工具。此工具可以查看文件被什
么进程调用,并且可以终止进程对文件的调用,实乃“杀人越货”的必备工具。用
UNLOCKER查看了一下,发觉这两个DLL文件都是线性插入了explorer.exe进程,把它们终止
后,桌面闪了一下,然后再删,两个都挂掉了~呀,这个工具实在太好用了,忍不住在这里
赞一下~(可以向我要~)

最后用卡吧杀了一下,发觉它的EXE文件生成在c:\windows\inf\,名字为wmimgrz.exe
然后还有一个病毒文件是C:\Documents and Settings\administraor\local
settings\temp\$vb$944.tmp
(晕,发觉自己前面的工夫白费了 -_-||)
这个病毒代号:trojan.win32.vb.aly

完了~

ps:如果直接用卡吧杀,卡吧是杀不出ntinit.dll这个动态连接文件滴,呵呵,手工定位的
工夫也算没完全白费
--
热爱生命


※ 修改:·chaike 于 Jul 21 19:14:31 修改本文·[FROM: 192.168.137.151]
※ 来源:·荔园晨风BBS站 http://bbs.szu.edu.cn·[FROM: 192.168.137.151]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店