对抗“恭喜你成为今日幸运星”

九月 4, 2009 作者:  

?????????????????????????Vip?????????????“????????????????????????????????????N95???”???? 阅读全文

新浪邮件中的病毒

二月 19, 2009 作者:  

????????????????????????????“?Return Mail: Data format error ?”???????Mail Delivery Subsystem ?”Mailer–DAEMON@sina.com”  ???????Return Mail: Error??????Returned Mail  “postmaster@sina.com”

??????

??????

????????????????????????????????????????????????????????????????????????????????????????????????????????????ZIP???????????????

???????

???????

???????????????????????????????

??????????????????

??????????????????

?????????Zip?????????????Zip???????????????abcdef.doc……..exe???????????

2?zip????

2?zip????

??????????????????????????Worm.Novarg.n?

??????

??????

????????????????????????????????????????????????????Zip?????????????????????????????

???????????????????????????????????????????????????????

???????

???????

?????????????MAILER-DAEMON@sina.com??????????????????????????????????????????????????????autofile3.eml?autofile4.eml?

?????????

?????????

??????????????????????????????????????????????

维修手记—-Kaspersky的HTTP流量与邮件监控无法启动

三月 24, 2008 作者:  

??kaspersky????????????????????????????Apple?iPhone????????????iTune?????????????????????????????????????iTune???????????????Apple?????iTune?????????AppleMobileService?iPodHelper?iPodService?????????????????iTune???????????????????????????kaspersky?HTTP?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????iTune????????iTune?kaspersky??????????google, ask baidu?kaspersky????????????????

Kaspersky???????HTTP?????????????Kaspersky Anti-Virus NDIS Filter????????NDIS????????

???????
???????
NDIS?Network Driver Interface Specification ??????????????NDIS4.0????????????????????????????????TDI?????????????????????????????3????
1.??????LAN Emulation?
2.????Packet Filtering? – ?????????TDI???????????NIC???????????Packets??
?1?.???????Pass/Drop Packets?
?2?.???????? Delay/Reorder Packets?
?3?.??????Packet Encryption/Decryption?
?4?.??????Packet Compression/Decompression?
3.????Route Packets??
?1?.NAT???????Network Address Translation?
?2?.LBFO??????????Adapter Load Balancing And Fail-Over?
??????????2???Packet Filtering?????Kaspersky?????http???????????????????????????windows????????????????????????????????????????????????????????????????????????????????????????????????????????????TDI???????

       ?????????HTTP??????????????????????Kaspersky Anti-Virus NDIS Filter?????????????????????iTune???????iTune???????????????????????????windows?????????Kaspersky Anti-Virus NDIS Filter???????????????????????

       ??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????Kaspersky Anti-Virus NDIS Filter???????????????????????????????????????????????????????????????????????????????????????????????kaspersky.com????????????????????????????????????7.0.1.125??????7.0.1.325???????????????????????????????????????????????????????

      ?????Kaspersky Anti-Virus NDIS Filter????????????????????????7.0.1.125??????????????????????????????????

维修手记—-登录后自动注销

二月 15, 2008 作者:  

       ??????????????????????????????????????????????????“????????”????????????????????“????” ????????????????????????????????????????????????????????????U??????????F8????????????????????????????Administrator????????????????????????????????????????????

        ????????????NTFS–DOS?????????????C????dir????????????windows????????????Documents and Setting?????D??????????????????????????C?????D???????????C????????????????????????????????C????NTFS Driver ????NTFS???????????????windows?????dir ????????????????????????????????
   X?WINDOWS> dir /O:-D /a /p

/O ?XXX?? D????????????????????“-”???????
/a ???????????????????  /p ????

??????????????????????????system32???????????????????????????????????????????????????????????????????????????????windows??????????????????????explorer.exe?????????userinit.exe?????????????userinit.exe???????userinit.ex_?????windowssystem32??????????????

  Z:WINXPI386> expand userinit.ex_  X:windowssystem32userinit.exe

??????????????????????????????????????????????????????????????????????????userinit.exe ???????????????????????…?

???????????????HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon????????“Shell”??“Userinit” ???Userinit?????c:windowssystem32userinit.exe??????????????Shell????Explorer.exe?????????? Explorer.exe shutdown ???????????~??????????????????????????????~~

维修手记—-程序无法运行

十二月 13, 2007 作者:  

???12?12??
???DELL??????????
???????????????

??????????C—F???????????????autorun.inf???NTLDR.exe??????????autorun???????????????????????????????????????????autorun.inf?ntldr.exe???????????????????????????????????????????????DOS?????auto?????????c:windows?c:windowssystem32??????????????20?????????ajfkld.exe?jfklal.dll???????20-50k????????????????c:Documents and Setting…..Temp?????????????????????????????????????????????????????????????????????????autorun.inf?ntldr.exe???????????????????????????????????????????????????????????????????????ativ2exxx.exe?????????????ATI????????????????????????????ATI????????????????DOS?Search??????????????????????c:windowsfontssystem???????????????????fonts ???????dir???????????????DLL???????????????????fontssystem??????????????Documents and Settings ?Programme Files??????????.exe???????????????????????????????????????????????????????????????

维修手记—-枪毙杀毒软件的病毒

四月 14, 2007 作者:  

store "sans-serif";” lang=”EN-US”>    ???????????????????????????????????????????????????????????????????????????????????????????????????????????????pill "sans-serif";” lang=”EN-US”>

    ????????????????????????????????????stuff "sans-serif";” lang=”EN-US”>mouse???????1-2??????????????????????????????????????run?????????????????????????????????????????????????online????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????~????????????????????icesword??????????????????????????????????????????????????????????icesword.exe???????????~??icesword.exe ??i.exe?????????icesword??????????????????????new.sys?????????%system%/system32???????????????????icesword?????????????????????????cb67b3xei.dll??????program filescommn filesmicrosoft shareinfo????????????????????????cb3XXXXXX.dat?????SHR???????????????????????????????????rav.exe??????????????????????????????icesword,sreng,????360?????????????????????????????????????????????????sreng??????????????????sreng????????????????????????????????????????????????????????????????????????????????????????????????????????????????.exe??????????????????????????word,excel??????????????????????????????rav.exe ??????????????????
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe]
?
“Debugger”=”C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\C6C18FD0.dat”
???Image File Execution Options??????rav.exe ??????????360safe.exe,icesword.exe,kav.exe?????????????????????????????????????????????“debugger”?????????????????????????????????????????????????disable???????????????

    ???????????????????????sreng?????????????????????????????HLKSYSTEMControlsetcontrolsafeboot??????????????~?

维修手记—-多个IE进程和禁止输入法

一月 3, 2007 作者:  

?????????????????????????????????????????????????????????????shop "serif";” lang=”EN-US”>IEXPLORE.EXE?????????????????????????????????????????????????????????????????????????????????????????

???????????????????????????????????????????????seek "serif";” lang=”EN-US”>H_L_MSOFTWAREMicrosoftWindowsCur
rentVersionpoliciesexplorer
un
????and "serif";” lang=”EN-US”>twin???? c:windowssystem32 wunk32.exe?????run?????nice_soft ????c:windowssystem32
etemp.exe
??????????????????????????????????IE?????????????????????????????……

 

????????????????????????????????windhcp??????????Rundll32.exe windhcp.ocx???????????????windowssystem32???windhcp.ocx?????????????????????IE???????????system???????

??????????????????????????????IE??????????????system32????????????????????????????????????????twunk32.exe ?retemp.exe??2005-03-03 14:32????????????????????????????QQ????????TIMPlatform.exe???????????TIMPLATFROM.EXE???????HSR ?????system32drivers????usbme.sys??????????QQ?????????????68Kb????????????QQ????????????????QQ????????????????????QQ??????????????????????TIMPlatform.exe,28K????????????????????????????~?

???????????
?????windowssystem32 wunk32.exe 
               windowssystem32
etemp.exe
               windowssystem32windhcp.ocx
               windowssystem32driversusbme.sys
               QQTIMPlatform.exe
????  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo
wsCurrentVersionpoliciesexplorer
un
?
twin= windowssystem32 wunk32.exe   

              HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo
wsCurrentVersionRun twin= windowssystem32 wunk32.exe
?nice_soft= windowssystem32
etemp.exe   

             ??windhcp????????rundll32.exe windhcp.ocx

???????????????,?????????~??