对联式悲哀 » 2008年 » 7月
关于worm.win32.Huhk.c
MaaJiaa 发表于 2008-07-31 12:42:42
卡巴斯基提示explorer.exe被感染,病毒名为worm.win32.Huhk.c
选择清除的话卡巴会把explorer.exe删掉,导致任务栏、桌面等等消失
随便Google了一下,找到几例类似的情况,还有人因此大骂卡巴斯基误杀...
真的是误杀么?
看了Virus版上的两份SREng扫描报告
explorer.exe的数字签名都不太对劲,而且还变成了特权进程,非常可疑
强烈怀疑是不是文件被病毒修改过...
另外,其中一人是机器上所有运行的exe都报毒,
更加怀疑这个worm.win32.Huhk.c是不是会修改所有的exe文件
除了explorer.exe的数字签名以及特权进程之外,
扫描报告里似乎看不出其它问题,
不知道是已经被卡巴干掉了还是这个病毒本身极其阴险只感染运行过的exe
至于报毒之后的处理建议,
对于这些被感染的exe,目前卡巴斯基完全可以在保留文件的前提下清除病毒,
只有explorer.exe因为正在运行而无法清除。
可以打开任务管理器,结束explorer的进程,
然后菜单--文件--新建任务--浏览,找到卡巴主程序AVP.exe运行,
结束任务管理器,执行全盘扫描(也可以设置只扫描扩展名为exe的文件以加快速度)
在弹出警报的时候不要选“删除”,而选“清除病毒”,
扫描完成之后Ctrl+Alt+Del调出任务管理器,新建任务explorer即可。
其他的杀毒软件也可以类似操作,能在保留文件的前提下清除病毒最好不过了
要是不能清除,个人觉得此时最简单最彻底的办法还是重装...
格C盘重装,装完之后先不要动其他盘里面的exe,直接装杀毒软件全盘扫描
当然你要相信是杀毒软件误报了然后继续凑合着用也没人反对
P.S. 这个病毒疑似Global.exe/MS-DOS.com的伴随产物
补充另外两个方法:
lulu大大发话了,提供不重装的解决方法...
杀毒软件可以清除病毒,“前提是病毒没有运行”
不想重装的话可以“把硬盘拆出来挂到别的机器上扫”
版大也发话了,原来还有expand这么一个东西,我果然很圡...
发信人: snowflurry (昨天想做什么来着又忘了), 信区: Virus
标 题: Re: worm.win32.Huhk.c无法彻底清除,贴log请教。
发信站: 日月光华 (2008年07月31日17:12:18 星期四), 站内信件
可以清除
用XDelBox删除可疑文件的时候把C:\windows\explorer.exe和c:\windows\system32\dllcache\explorer.exe一起删掉,重启后直接进入带命令提示符的安全模式,放入安装盘
用expand命令把explorer.exe文件导出来放在windows目录下,运行之
比如expand H:\WINXP\XP_PRO\I386\explorer.ex_ C:\Windows\explorer.exe
然后用卡巴扫描整个C盘,清除病毒
其它盘可以搜索"*.exe"然后全选扫描,也不用全盘扫了
果然是腱鞘囊肿
MaaJiaa 发表于 2008-07-30 14:55:10
于是去校医院...
医生拿着我的脚捏了几分钟,果然说是腱鞘囊肿
然后1还很冷的说:你自己平时捏一捏,把它捏破就消掉了...囧rz..
接着就叫我回来继续观察了,如果这个东西有长大的趋势再去复诊
问她这个对跑步之类的体育运动有没有影响,答曰没有
自己Google到的也是没什么影响
再继续宅下去,我都要发霉了,决定无视这个东西,今天开始继续跑步...
=====================腱鞘囊肿介绍的分割线=======================
以下内容转自日月光华BBS Health版精华区x-5-8-4-6-10-2目录,部分重新排版。
【概述】
腱鞘囊肿是指发生于关节囊或腱鞘附近的一种内含胶冻状粘液的良性肿块,其多为单房性,也可为多房性。发病原因不明。目前主要认为与关节囊、韧带、腱鞘上的结缔组织因局部营养不良,发生退行性粘液性变性或局部慢性劳损有关。其临床表现主要为腕背部、腕掌部或足背部出现腕豆至拇指头大小的半球状肿块,质硬,有弹性,基底固定,有压痛。
本病最常发生于腕部背侧,其次是腕部掌面的桡侧,亦可发生于手掌、手指和足背部,少数发生于膝及肘关节附近;多见于青年和中年,女性多于男性;大多逐渐发生或偶尔发现,生长缓慢。极少数病例,囊肿可自行吸收,但时间长。多数病例经非手术治疗,疗效较好,但可复发。极少数病例需手术切除,效果良好。
【症状体症】
1. 手腕背侧、掌侧或足背等处出现局部肿块隆起,生长缓慢,很少有疼痛或不适。个别发生于腕管或掌部小鱼际者,可压迫正中神经或尺神经,出现相应的感觉和运动障碍。
2. 肿块呈半球形,豌豆至拇指头大小,一般不超过2cm,表面光滑饱满,与皮肤无粘连,触之坚硬,有弹性,可有囊性感,基底固定,压之有酸胀或痛感。
【诊断依据】
1. 腕背侧、掌侧或足背等处出现半球形、表面光滑、张力较大的囊性肿块。
2. 肿块生长缓慢,压之有酸胀或痛感,基底固定。
3. X线摄片示骨关节无改变。
【治疗原则】
1. 腱鞘囊肿可以自消,但时间较长。
2. 浅表囊肿可用外力压破、击破、挤破或用针刺破囊壁,待其自行吸收,可治愈,但易复发。
3. 局麻下用粗针头穿刺,尽量抽尽胶状液,注入醋酸氢化可的松或强的松龙 12.5 - 25mg,加压包扎,每周一次,连续2 - 3次即愈,常复发。
4. 手术治疗:效果最佳。手术必须仔细将全部囊壁连同周围部分正常的腱鞘、腱膜等组织、彻底切除。术后很少复发。复发者,仍可再次手术切除之。
【疗效评价】
1. 治愈:囊肿消失,无症状,肌腱无粘连,无复发,功能恢复。手术后伤口愈合。
2. 好转:症状减轻,功能改善。
3. 未愈:症状、体征未改善。
【专家提示】
本病是一种好发于手腕背侧、掌侧或足背等处的良性肿块。因此,若手腕或足背等处出现无痛性的半球形肿块,就应该考虑是本病,需与表皮样囊肿、皮脂腺瘤或脂肪瘤相鉴别,以免误诊。本病一般对人体影响不大,极少数可自行消失。目前虽有多种方法治疗本病,但多数病例仍有复发之可能。若囊肿较小,又无症状,且不影响外观者,可不做处理,静观其变。若囊肿较大,又有症状者,可行非手术治疗。复发者,可再次治疗。为达到根治的目的,可选择手术切除方法,但极少数亦有复发。
记得给RealPlayer漏洞打补丁
MaaJiaa 发表于 2008-07-30 13:10:42
http://www.cnbeta.com/articles/61211.htm
摘要:
RealNetworks发布了4款危急补丁软件,修正在Windows、Linux和苹果Mac OS X上运行的数个版本RealPlayer中的缺陷。
据丹麦安全厂商Secunia在一份报告中称,这些缺陷使黑客能够在PC上运行恶意代码,或使PC泄露机密信息。RealNetworks发布了一个表格,详细说明了哪个缺陷会影响哪个版本的RealPlayer。一些用户可能需要下载全新版本的RealPlayer,另外一些用户则只需下载补丁软件即可。
========================
受影响的版本(摘自官网):
Windows平台
RealPlayer 10
RealPlayer 10.5 (6.0.12.1040-6.0.12.1663, 6.0.12.1698, 6.0.12.1741)
RealPlayer 11 (11.0.0-11.0.2 builds 6.0.14.738-6.0.14.802)
RealPlayer Enterprise
P.S. 查看当前的版本号,选择菜单--帮助--关于RealPlayer
解决方法:
XP和Vista用户需要升级到RealPlayer 11
Win2000、WinME或Win98用户下载10.5的升级补丁包,菜单--工具--检查更新
其他平台情况以及漏洞详情见官网
http://service.real.com/realplayer/security/07252008_player/zh-cn/
[转载]DNS攻击代码现身
MaaJiaa 发表于 2008-07-24 22:34:12
发信人: sshnuke (Eagle he flies high above us), 信区: HackerVsSecurity
标 题: DNS攻击代码现身,各位自重zz
发信站: 日月光华 (2008年07月24日13:47:11 星期四)
DNS攻击程序已然出现了,今天凌晨I)ruid和H D Moore公布了DNS的详细攻击代码。按照一般的修补速度来说,相当怀疑国内部分DNS服务器尚未修补该漏洞。因此提前提醒各位,常去的网站一定做静态的DNS解析,另外,不要打开奇怪和不受信任的网站。
64.233.189.147 google.com
64.233.189.147 www.google.com
209.85.143.18 mail.google.com
203.208.37.99 google.cn
203.208.37.99 www.google.cn
64.233.161.83 gmail.com
-------------转载完毕---------------
总之,在地址栏输ip代替网址肯定没错啦,
不用代理上网的人也可以把这些写到hosts文件里面
我眼中的360安全卫士
MaaJiaa 发表于 2008-07-23 00:39:27
欢迎转载,但请保留作者:MaaJiaa@Virus.Zone3.RYGH
客观的讲作为一款免费软件,360还是做得很不错的。可是由于奇虎恶心的宣传策略,一款普通的安全辅助软件俨然已经变成了像杀毒软件一样的装机必备,仿佛有了360就有了安全保障。
360系列全套软件看起来很多,可是其中你能找出属于奇虎自己的技术么?不过都是把别人的技术买过来,或者把别人免费但不知名的东西弄过来而已。当然弄过来之后经360整合,用起来还是很方便的。以下是对360系列软件的一些个人看法,欢迎拍砖。
360安全卫士本家
360安全卫士是个什么东西,仅仅是和xx上网助手、xx安全助手类似的小的安全辅助工具而已。
很多小白几百年也不晓得更新一次杀毒软件的病毒库,某天突发奇想用360扫描,哇~~扫出了这么多木马,还有这么多漏洞!360好强大阿!最近之所以很多人突然发现360安全卫士好用,是因为最近某木马下载器类型的病毒有些泛滥,该病毒有一两个主体,中毒之后会调用该主体下载其他几十上百个木马。等到你发现机器中毒的时候,通常已经木马遍地机器运行速度严重减慢了。这时候拿360扫描,显然结果就是一大堆木马,删掉之后机器速度也正常了,于是“360把毒杀干净啦”。可是病毒主体根本没解决掉,于是过段时间又死灰复燃,再360扫描,如此循环。实际上,凡是360能扫出来的木马,是个合格的杀毒软件同样也能扫出来,而且只会比它扫得更全面删得更彻底。而对于驱动级别保护的病毒,即便是专业的杀毒软件,也不一定能解决掉。
总的来说,作为免费的安全工具,360安全卫士还是很不错的,界面、易用性等等都比较好。类似的软件也有很多人推荐Windows清理助手,也是同样优秀的免费软件。
不管怎样,切记:360只是一个安全工具,不要把它当成杀毒软件来用,如果你以为系统里面装一个360安全卫士就不用其他杀毒软件和防火墙,你会死得很惨。还有,360论坛上的那些文章没有阅读价值,有些甚至会误导,这可能也和360定位的使用群体中小白比较多有关。
还有一点很重要,如果你使用的是卡巴斯基网络套装KIS,或者卡巴斯基工作站版本,以及Adobe Acrobat 9.0的专业版,请不要使用360的清理恶评插件以及清除木马功能,该功能会破坏上述软件的一些开机启动项(所以对于卡巴误杀360的事件,我对360不怎么同情)。
360安全浏览器
“沙箱”技术是从Sandboxie手上买过来的,浏览器就是世界之窗,完全没有原创技术。什么是沙箱?简单的讲就是开辟一块单独的空间,上网的时候所有代码、程序都约束在这块空间以内运行,不允许穿透这块空间去访问修改系统的其它部分,从而达到把恶意代码隔离的目的。
在正式版本出来之前,elysion@RYGH曾经对360的安全浏览器做过简单的测试,直接下载病毒本体,然后在沙箱中运行,效果还不错。但是他发现了一个大Bug:如果下载的不是可执行文件,而是压缩包,选择在沙盘中运行会调用WinRAR,然后在WinRAR中双击压缩包里面的可执行文件,就变成在沙盘外直接运行了。不知道正式版本这个bug有没有修复。
另外,沙箱也不是如360宣称的那样绝对安全,Sandboxie在拦截键盘记录测试中的表现不算特别好,如果有盗号木马运行在沙箱中,它们仍然可以发挥作用盗取在沙箱外输入的密码。(引用elysion的测试报告)
总的来说这个东西还值得一用,但是不要迷信360的宣传而放松警惕。
360 APR防火墙
关于什么是ARP攻击,可以参考本人以前写的一篇《ARP攻击扫盲贴》。
360号称的什么内核层拦截我也懒得管,我只知道当局域网内本来就存在ARP欺骗攻击的时候,360会把假的网关当成真的网关保护起来。(解决方法在此)
360很聪明,看到瑞星防火墙ARP防御导致网络负担增加,严重影响局域网内通信的前车之鉴,于是大肆宣扬自己绝对不增加网络负担,可是你不给网关发包主动防御,别人不骗你只骗网关怎么办?能“完美解决”局域网内ARP攻击的方法,只有找到攻击源让它杀毒。
其实这也不能怪360没有用,一切都归咎于ARP协议本身的漏洞太容易利用,可是360的宣传词太无耻。不论说辞多么天花乱坠,实际上这个ARP防火墙的防御效果就相当于:
1. 首先运行cmd,然后输入arp -a,把列表里面的网关ip和网关mac抄下来;
2. 然后打开记事本,输入一行字“arp -s 网关ip 网关mac”,保存为arp.bat文件;
3. 再把这个文件拖放到开始菜单的启动栏里面,over。
当然360实现了更多的功能,例如受到攻击会报警,读取数据包里面的ip信息并显示出来等等,可是真正能起到的防御效果和以上3个步骤毫无区别,不可能“完美解决局域网内ARP攻击问题”。
这个东西或许也可以用一下,但是请不要对它的效果抱有太大的希望,只能保证不因中毒机器的ARP攻击而断网(别人主动恶意攻击你不在讨论范围之列)。
P.S. 不管是什么公司出的ARP防火墙,都不能当作真正的网络防火墙来用,这点不要弄混淆。同时推荐一款国产新兴的免费网络防火墙——风云防火墙,规则项很全面,但是需要使用者对网络稍有一定了解。
360系统诊断工具
这个东西就是个废物,无非是把注册表里面的几个项导出来,然后把任务管理器里面能看到的进程名字抄下来。连每个进程里面注入了哪些线程都不能看到,更不用说扫描隐藏进程、扫描API Hook劫持等等功能了。用这个生成的扫描报告什么都做不了,纯粹浪费时间。如果真的需要发扫描报告求助杀毒,推荐使用SREng。
360时间保护器
这个东西我没用过,修改系统时间的手法就只能对卡巴斯基起效,这个也算是卡巴斯基的大漏洞吧,只要改改系统时间就可以轻易的放倒卡巴。
有需要也可以用一下,360会给你弄个驱动,相应的代价是占用一定的系统资源。
360恶意网站屏蔽器
把Hosts文件编辑写个图形界面的小程序出来,就摇身一变成了安全工具,实在令人匪夷所思...
所谓的Hosts文件在C:\WINDOWS\system32\drivers\etc目录下面,可以用记事本打开编辑。打开以后#开头的行是注释行,里面还有“127.0.0.1 localhost”这类似的内容,127.0.0.1代表ip地址,locahost代表网址。如果在下面加一行“10.0.0.0 www.baidu.com”就表示当你访问www.baidu.com时会自动跳转到10.0.0.0,而跳转到127.0.0.1则表示不访问网络。因此,把那些恶意网站的网址全都添加到hosts文件里面,然后指向127.0.0.1,就可以实现屏蔽恶意站点的功能。
360推出的这个工具不能算安全工具,顶多是个记事本加强版而已。另外,hosts列表屏蔽恶意网站,对使用代理上网的人不起效。
360文件粉碎工具
这个也是废物,虽然360号称它可以粉碎“一切顽固文件”,可是拿它删正在运行中的病毒根本删不掉。
免费的强制删除工具有很多,像Unlocker、PowerRmv、XDelBox等等,这其中我尤其推荐使用XDelBox,不止因为它能删除驱动级文件,而且它可以在系统外部进行清除,这样病毒的任何保护机制都无能为力了。(光华Virus版版大snowflurry语)
360网吧还原系统保护器
没用过不清楚。在此借地膜拜一下某大牛,把他的Ring0级别绕过还原保护的代码公布到了网上,于是天下大乱...
360安全卫士修复工具
没用过,想来也是废物一个,连CRC效验检查360主程序有没有被修改的功能都不具备。
中了病毒就应该立即在安全模式下用杀毒软件全盘扫描,找360有什么用?
360即将推出的免费杀毒软件
已经确定是和BitDefender总部直接合作的,不管是不是把BitDefender的免费激活码拿过来重新发,也不管最终推出的免费版本到底能实现BitDefender的多少功能,至少可以给我们多提供一种免费的选择。BitDefender也算一款不错的杀毒软件,比较汗的是,它曾经被评为性价比第一,于是被某些英文小白当成“世界第一”的杀毒软件到处宣传。(- -;;;)
