版主考勤工资唐宋首页 |藏经阁 |唐宋字聊 |唐宋博客 |唐宋相册 |空间应用 |银行 |
| 会员QQ群号:42600718 |QQ在线客服切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

《唐诗宋词》»论坛 [唐诗宋词]论坛 【电脑天地】 新版灰鸽子(svchoot.exe)的手工查杀 ...
返回列表 发新帖
查看: 1394|回复: 4
收起左侧

新版灰鸽子(svchoot.exe)的手工查杀

[复制链接]
叶秋霜

该用户从未签到
发表于 2006-4-27 23:47 | 显示全部楼层 |阅读模式
[color=#0000FF]【样本来源】:“轩辕小聪”提供。
【使用的工具】:SSM 2.0.5.565(现在有更高的版本);IceSword 1.10。
【查杀流程】:
1、在SSM的“规则”面板中添加三条规则(见图1)。
2、将SSM设置为启动加载(见图2)。
3、重启系统。
4、用IceSword找到并删除下列文件:
C:\WINDOWS\svchoot.exe
C:\WINDOWS\svchoot.dll
C:\WINDOWS\svchootKey.dll
C:\WINDOWS\svcpack.log

5、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:Windows Instaler(指向:C:\WINDOWS\svchoot.exe)
(2)展开:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除:Windows Instaler(指向:C:\WINDOWS\svchoot.exe)
【评论】:鸽子的作者真是“处心积虑”!想尽一切办法躲避查杀。这个鸽子,目前(2006年4月24日)卡巴的标准病毒库还不报。HijackThis、autoruns等工具也扫不到其服务项,这点是新版鸽子比“灰鸽子2005VIP”NB的地方。
但它还是没逃过IceSword和SSM。
我们等待鸽子的作者再出新花样。
【小结】:这类“鸽子”,虽然隐蔽,但还是可以用IceSword或SSM这样的工具找到手工查杀的切入点。
IceSword:可以发现异常的IE进程(没开IE而可以看到iexplore.exe)
SSM:鸽子运行后,SSM报警N次。多是提示IE企图改写内存的内容。
据此,可以通过IceSword查看iexplore.exe模块。进而发现鸽子的dll及其路径。
再用IceSword查找鸽子的.exe文件。
至此,已经锁定手工查杀目标。接下来要做的,就是本帖叙述的“查杀流程”。
以上是查杀这类鸽子及其它隐蔽性较高木马的基本思路。
图1


(本公子这厢有礼了。)
回复

使用道具 举报

叶秋霜

该用户从未签到
 楼主| 发表于 2006-4-27 23:51 | 显示全部楼层

新版灰鸽子(svchoot.exe)的手工查杀

[这个贴子最后由叶秋霜在 2006/04/27 11:53pm 第 1 次编辑]

强烈推荐一个免费软件 System Safety Monitor V2.0.0.567 官方多国语
用google搜查一下, 到天空软件网站去下载也可以。
(本公子这厢有礼了。)

[color=#990000]-=-=-=-=- 以下内容由 叶秋霜2006年04月27日 11:52pm 时添加 -=-=-=-=-
SSM是一款对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,系针对操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相冲突的。该软件获得了WebAttack的五星编辑推荐奖,十分优秀!到目前为止,该软件仍是免费的。
【功能特性】:
· 可控制机器上哪些程序是允许执行的,当待运行程序被修改时,会报警提示;
· 可控制“DLL注入”以及键盘记录机对特定系统函数的调用;
· 可控制驱动程序的安装(包括非传统方式的驱动型漏洞-Rootkits);
· 可控制诸如存取"\Device\PhysicalMemory"对象这类底层活动;
· 可阻止未经认可的代码注入,从而使任何程序都无法插入到合法的程序中以进行有害的活动;
· 可控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动,如:您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动;
· 可在双模式中任选其一,用户模式或管理员模式:管理员模式可设定首选项并加以密码保护防止被更改,而用户模式不能更改任何设定;
· 可监控安装新程序时注册表重要分支键的更改,受保护的注册表分支键被尝试更改时将阻止或报警;
· 可管理自启动项目、当前进程等,另外提供了服务保护模块,用以监视已安装的系统服务,当新的服务被添加时,会报警提示;
· 可(实时)监视"启动菜单"、"启动INI文件分支",以及IE设定等(包括BHO-所谓的浏览器辅助对象,一般都是广告程序、间谍程序等垃圾);
· 可通过标题黑名单过滤器阻止打开指定的窗口或者网页;
· 支持外挂任一调试器、反病毒软件等,且该软件的扩展功能均采用外挂插件形式实现,因此极易得到丰富的扩充;
· 本身作为服务加载,通过配置、修改可以实现隐秘的进程反杀能力。
SSM的上述强大功能为木马防范乃至整个系统的全面监控提供了绝佳的解决方案,但其使用上应该算是,总体来说是一款偏向高端的安全软件。
回复 支持 反对

使用道具 举报

缺月挂疏桐
  • TA的每日心情
    慵懒
    2023-9-9 18:18

    • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到
    发表于 2006-4-28 00:17 | 显示全部楼层

    新版灰鸽子(svchoot.exe)的手工查杀

    呵呵,天空的软件有很多都被捆绑了东西,还推荐大家到那里去下?呵呵呵~
    回复 支持 反对

    使用道具 举报

    吟风听月
  • TA的每日心情
    开心
    2023-4-15 08:35

    • 签到天数: 462 天

    连续签到: 1 天

    [LV.9]以坛为家II
    发表于 2006-4-28 08:05 | 显示全部楼层

    新版灰鸽子(svchoot.exe)的手工查杀

    下面引用由缺月挂疏桐2006/04/28 00:17am 发表的内容:
    呵呵,天空的软件有很多都被捆绑了东西,还推荐大家到那里去下?呵呵呵~
    确实如此。
    现在有的木马,自动杀进程管理器,或者是你一打开进程,自动隐藏,或者是隐藏在必要进程里面,晕
    回复 支持 反对

    使用道具 举报

    安眼药

    该用户从未签到
    发表于 2006-4-28 16:27 | 显示全部楼层

    新版灰鸽子(svchoot.exe)的手工查杀

    晕  我好多东东都是天空下的    后怕中
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    QQ|小黑屋|《唐诗宋词》网站 ( 苏ICP备2021032776号 )

    GMT+8, 2024-11-15 10:42 , Processed in 0.074982 second(s), 19 queries .

    Powered by Discuz! X3.4

    Copyright © 2001-2021, Tencent Cloud.

    快速回复 返回顶部 返回列表