对联式悲哀
[吐槽]有爱的XP-D41D8CD9
MaaJiaa 发表于 2008-10-13 17:39:11
我要把它放进打印店发扬光大!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]
<IFEO[Thunder5.exe]><svchost.exe>
别的常用安全工具一个都不得罪,唯独把流氓雷给劫持掉了,挖咔咔~~
我没看样本,从扫描报告中一堆.fne文件瞎猜,
这个东西不会是用传说中的“易语言”写得吧?难怪看起来这么[][]...
〖症状〗
1. 添加开始菜单启动项实现开机自动运行
C:\Documents and Settings\UserName\「开始」菜单\程序\启动\ .lnk
--> C:\WINDOWS\system32\XP-D41~1.EXE
名字还是三个全角空格,掩耳盗铃,经典!
2. 添加注册表常规启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<XP-D41D8CD9><C:\WINDOWS\system32\XP-D41D8CD9.EXE>
3. 任务管理器进程里面多出两个XP-D41D8CD9,但是可以直接结束进程...囧
既然开了两个进程,就不能互相守护一下吗?
回头看症状1/2,噢,我明白为什么会有两个进程了...(-, -bbb)
用SREng扫描进程的结果如下:
[PID: 2580 / UserName][C:\WINDOWS\system32\XP-D41D8CD9.EXE] [N/A, ]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\krnln.fnr] [, 1, 0, 0, 1]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\com.run] [, 1, 0, 0, 1]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\eAPI.fne] [, 1, 0, 0, 1]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\dp1.fne] [N/A, ]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\shell.fne] [N/A, ]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\internet.fne] [, 1, 0, 0, 1]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\RegEx.fnr] [N/A, ]
[PID: 2944 / UserName][C:\WINDOWS\system32\XP-D41D8CD9.EXE] [N/A, ]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\krnln.fnr] [, 1, 0, 0, 1]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\com.run] [, 1, 0, 0, 1]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\eAPI.fne] [, 1, 0, 0, 1]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\dp1.fne] [N/A, ]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\shell.fne] [N/A, ]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\internet.fne] [, 1, 0, 0, 1]
[C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\RegEx.fnr] [N/A, ]
4. 如本文开头,迅雷被和谐了。
5. Google到一些人反映它还会利用U盘Autorun.inf自动传播。
〖解决方法〗
1. 任务管理器里面结束进程
2. 把上文提到的这些文件统统删掉,有可能文件被加上了系统属性和隐藏属性,请在文件夹选项里设置显示隐藏文件并且不隐藏系统文件,或者利用Windows的搜索功能。
如果有Autorun.inf也一并删掉。
C:\Documents and Settings\UserName\「开始」菜单\程序\启动\ .lnk
C:\WINDOWS\system32\XP-D41D8CD9.EXE
C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\krnln.fnr
C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\com.run
C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\eAPI.fne
C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\dp1.fne
C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\shell.fne
C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\internet.fne
C:\DOCUME~1\UserName\LOCALS~1\Temp\E_4\RegEx.fnr
(总觉得用XDelBox来杀它太大材小用...)
3. 在SREng--启动项目--注册表项里把对应的启动项删除
<XP-D41D8CD9><C:\WINDOWS\system32\XP-D41D8CD9.EXE>
<IFEO[Thunder5.exe]><svchost.exe>
学易语言还想拽技术,真是……
妈妈说吐槽太多会遭报应得口腔溃疡,不说了...
卡巴斯基和网盘有冲突?
MaaJiaa 发表于 2008-10-13 01:22:09
2008年10月14日更新:
终于换成了KAV 8.0,问题依旧。
不过可以将有冲突的网盘在设置——Web流量保护中添加信任网址
http://*.mediafire.com/*
http://*.yousendit.com/*
http://*.easy-share.com/*
http://*.rapidshare.de/*
http://*.rapidshare.com/*
(用了这么多通配符,应该都包括在内了吧...)
=============================================
这真是一个神奇的冲突!
因为它只和国外的所有我用过的网盘有冲突,
国内的JShare,RayFile,QQ文件中转站,纳米盘都没问题。
(RayFile不在国内,但是我一直当它是国内的...)
〖我的系统环境〗
操作系统:WinXP Pro SP3(Build 2600)
防 火 墙:风云防火墙 v1.26 正式版
杀毒软件:卡巴斯基AVP v7.0.1.325 c.d.e
网络线路:上海电信
〖冲突表现〗
MediaFire上传总是不断地重试,或者停在CheckingFile那一步;
YouSendIt上传一开始,我什么操作都没有做就立刻跳出一个对话框说上传还未完成是否确定要离开该页面。选择Cancel,地址栏会变成YouSendIt上传服务器的地址,然后“无法显示网页”;
RapidShare.de上传,直接跳到“无法显示网页”;
RapidShare.com上传,同样直接跳到“无法显示网页”;
EasyShare上传,还是跳到“无法显示网页”。
〖冲突解决〗
只能暂停或者关掉卡巴斯基再上传...囧rz
没错,我试过了,仅仅只关闭卡巴的HTTP流量扫描或者Web反病毒是没用的。
我又怀疑是不是Kaspersky Anti-Virus NDIS Filter的问题,
于是把网络连接属性“此连接使用下列项目”里面这一项的勾给去掉了,
结果还是没用。
然而诡异的是,起冲突的的确是卡巴斯基的Web反病毒流量监控模块。
对于MediaFire、EasyShare、RapidShare这三家,它们上传大概是用的80端口,
于是在卡巴斯基设置--流量监控--端口设置里面,去掉80端口,再上传就一切正常。
而YouSendIt用的是https通信,于是去掉对应的443端口,同样恢复正常。
因此我猜想只要某网盘上传所用的通信端口在卡巴的监控范围之内,就会上传失败。
至于卡巴的流量监控还会不会有别的副作用,我就不清楚了。
不懂卡巴怎么会出这么瓜三的问题,而且只针对国外的网盘。
(P.S. 大概国内的网盘上传是用的其他非常规端口,懒得开防火墙一个个看了)
(P.P.S. 我承认我用过的网盘不多,只有以上提到的那些,可能不够全面)
害得我起初一直以为是GFW在从中作梗,
又是挂代理,又是把域名解析服务器换成OpenDNS,
折腾了好多天都搞不定...怨念...
顽强的HBKernel32.sys/System.exe
MaaJiaa 发表于 2008-10-12 19:37:53
罪魁祸首是HBKernel32.sys这个病毒驱动。
Log里有一个很诡异的地方,Userinit的数字签名没了:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)]
SREng的作者SmallFrog不久前专门提到过这个问题,
在签名验证中只出现Verified字样却没有任何公司信息的情况十分可疑。
P.S. Userinit.exe的作用,如果我没记错的话,应该是在Windows系统启动的某一步,由它来找到当前系统使用的shell(通常是explorer.exe)并调用运行之。完成这步之后,Userinit.exe的进程就会结束。
其他可疑片断都很常见:
〖注册表启动项〗
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<HBService32><System.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F}><4BF9CBA3.dll>
<{C250CF20-5F89-4310-9854-4BC261FB14FB}><C250CF20.dll>
……省略若干类似项
〖驱动启动项〗
[8882fa1 / 8882fa1][Stopped/Manual Start]
<\??\C:\WINDOWS\system3282fa1.sys><N/A>
……类似的随机文件名驱动还有好几个
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
<\SystemRoot\system32\drivers\HBKernel32.sys><N/A>
〖正在运行的进程〗
[C:\WINDOWS\system32\gdipro.dll] [N/A, ]
[C:\WINDOWS\system32\sys05015.dll] [N/A, ]
[C:\WINDOWS\system32\sys07008.dll] [N/A, ]
这三个可疑的dll注入到csrss.exe进程下。
以上。如果只删除病毒文件,而不用新的正常系统文件替换这两个
C:\WINDOWS\System32\Userinit.exe
C:\WINDOWS\System32\dllcache\Userinit.exe
重启后不久病毒就会死灰复燃(见附件):
〖驱动启动项〗
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
<\SystemRoot\system32\drivers\HBKernel32.sys><N/A>
〖正在运行的进程〗
[PID: 824 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2111)]
[C:\WINDOWS\system32\gdipro.dll] [N/A, ]
[C:\WINDOWS\system32\sys05015.dll] [N/A, ]
[PID: 1876 / Administrator][C:\WINDOWS\system32\userinit.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\urlm0n.dll] [Microsoft Corporation, 6.00.2900.5628 (xpsp_sp3_gdr.080625-1652)]
这一次Userinit被抓个正着,明明调用完explorer它就应该自我了结,现在却还在,并且其下还注入了一个可疑dll。
========== 解决方法的分割线 ==========
1. 将你的Windows安装盘放入光驱
2. 用XDelBox删除userinit之外的病毒文件,具体到本Log就是:
c:\windows\system32\gdipro.dll
c:\windows\system32\sys05015.dll
c:\windows\system32\sys07008.dll
c:\windows\system325271ca.dll
c:\windows\system32bf9cba3.dll
c:\windows\system32360697.dll
c:\windows\system3266f82e.dll
c:\windows\system32\c250cf20.dll
c:\windows\system32\d91bc61e.dll
c:\windows\system32\odckeupb.dll
c:\windows\system32\rkwipoth.dll
c:\windows\system32\uqyuivaw.dll
c:\windows\system32360697.dll
c:\windows\system32\e4814792.dll
c:\windows\system32\c56bcc10.dll
c:\windows\system32ca963ca.dll
c:\windows\system3274a8c2.dll
c:\windows\system32efddebe.dll
c:\windows\system3266f82e.dll
c:\windows\system32\d91bc61e.dll
c:\windows\system325271ca.dll
c:\windows\system32\c250cf20.dll
c:\windows\system32bf9cba3.dll
c:\windows\system32\system.exe
c:\windows\system32\ekefatxi.dll
c:\windows\system32\ohcdwwao.dll
c:\windows\system32\yetbsqec.dll
c:\windows\system32\svxkhqvu.dll
c:\windows\system32\cezixbte.dll
c:\windows\system32\plrllepu.dll
c:\windows\system32\rvivstrb.dll
c:\windows\system32\vnnhfrtc.dll
c:\windows\system3282fa1.sys
c:\windows\system32\c56bcc1.sys
c:\windows\system32\d4f876.sys
c:\windows\system32c70249.sys
c:\windows\system32\drivers\hbkernel32.sys
c:\windows\system32\dllcache\userinit.exe
3. XDelBox删除重启时选择从光盘引导系统启动,如果默认的第一启动设备不是光驱,请进入BIOS设置(开机按Del键,一些笔记本是F2键)找到First Boot Device项,修改为CD-ROM,然后Save and exit。
4. 启动后选择控制台恢复,用expand命令从安装光盘中导出一份新的userinit.exe:
expand H:\WinXP\XP_Pro\i386\userinit.ex_ C:\WINDOWS\system32
其中H为光驱盘符,一些修改版本的系统安装盘中i386目录所在的位置可能有所不同,可以结合dir(列文件目录)命令和cd(切换目录)命令自己找。以上命令的详细信息,可以调用参数“命令名 /?”来查看帮助文件。
附件:完整的SREng扫描Log,请直接右键另存为。
http://lh3.ggpht.com/MaaJiaa/SPIKW1TNI0I/AAAAAAAAAdo/Tk-_3hWRhZo/s800/Logs.zip.jpg
某人的简介
MaaJiaa 发表于 2008-10-11 14:06:40
之前那篇删掉了,越看越觉自己写得很脑残。
今年的诺贝尔奖很不一般,首先是又有一位华人拿了诺贝尔化学奖。尽管看国内各大媒体的反应,这个奖似乎不如他钱学森堂侄的身份金贵。中国人很在乎诺贝尔奖,可惜华人终究不是“中国人”,所以这一次科技强国的面子还是没能挣成。在一个大部分民众连Technology和Science都区分不清的国家,诺贝尔奖的意义其实也只是一张面子。越是自卑,越是急切地渴望外人来给自己长面子。
今年另一位与和平奖擦肩而过的中国人,反过来却险些使得朝廷丢更大的面子,以至于需要外交部发言人专门出面警告:如果让这位中国人拿诺贝尔奖,将会深深地“伤害中国人民的感情”——这大概也是中国特色的一种。此人的名字在过去讳莫如深,近段时间却凭借诺贝尔的东风而曝光率剧增,MaaJiaa也跟风来贴此人的简介。
以下内容,除了最后一段来源于道听途说的亲友叙述,其他均系根据正规合法的国内媒体报道,以及人民法院的依法判决结果整理而成,特此申明。
某人现年34岁,毕业于北京经济学院(即首都经济贸易大学)
是中国最早关心生态环境问题的环保人士之一,
也是中国最早投身维护艾滋病人权益的爱心人士,
(今年的医学奖同样给了艾滋病相关的研究者,
可见艾滋是评奖委员会的关注焦点之一)
当然他同时也致力于一些[][]的工作。
关于他的部分贡献可以参考以下报道:
《人民网》
http://www.people.com.cn/GB/32306/32313/32330/2969204.html
《中国青年报》
http://www.cyol.net/gb/cydgn/content_177383.htm
http://www.cyol.net/gb/zqb/2001-07/25/content_265377.htm
《北京青年报》
http://www.green-web.org/infocenter/show.php?id=13611
凤凰卫视《世纪大讲堂》
http://www.ifeng.com/phoenixtv/76569994053287936/20041230/478237.shtml
某人目前正身陷囹圄,罪名是颠覆国家政权罪,
2008年4月3日由北京市第一中级人民法院一审宣判,
有期徒刑3年零6个月,剥夺政治权利一年。
刑期从先行羁押日开始计算,为2007年12月27日至2011年6月26日。
一审判决生效之后的10天上诉期内未与辩护律师见面,因此未上诉。
定罪的主要依据据说是五篇文章:
文章一网页链接共计5个,其中之一被点击浏览115次
文章二网页链接共计4个
文章三网页链接共计4个
文章四网页链接共计5个,其中之一被点击浏览87次
文章五网页链接共计6个,其中之三共计被点击浏览96次
数据来源:北京市第一中级人民法院刑事判决书(2008)一中刑初字第967号
这是一个只靠区区几百次浏览的五篇文章就可以被颠覆的政权。
而今天的新浪博客排行显示徐静蕾的博客点击量为212,590,000次,韩寒的博客点击量为127,000,000次。
某人昨天中午刚刚由天津汉沽清和农场潮白监狱转监至位于团河农场的北京市监狱,
健康状况不是很好,然而之前的保外就医申请未能获得批准。
在狱中只能收看中央台的新闻联播和北京新闻,
因此并不知道自己获得了今年诺贝尔和平奖的提名。
某人上一次与家人见面是在上个月的25号,上上次好像是在8月7号(我记不清了)
他的老婆曾经在一件T恤上面打印了四个字“盯梢可耻”。
诺贝尔奖终于不是“婊子养的”
MaaJiaa 发表于 2008-10-10 18:49:22
司马平邦先生说了,“向一个被中国政府判刑的人授奖的那种阴暗心理,不是正常的‘人娘养的’心理”而是“婊子养的”心理。而且,倘若“让被中国政府判了刑的罪犯得到2008年的诺贝尔和平奖”,只能说明“今年的诺贝尔和平奖,是诺贝尔和婊子养的”。
司马先生也很了不起,虽然对于这位差点拿诺贝尔奖的中国人“不多置评,不了解”,却清楚地知道他根本不配拿诺贝尔和平奖,知道他可以颠覆中国的价值观让全中国人得精神分裂。
万幸诺贝尔和平奖揭晓,朝廷的颜面得以保全,死去多年的诺贝尔先生的妻子,以及诺贝尔评奖委员会委员的母亲们也得以洗脱“婊子”罪名,皆大欢喜。唯独很不巧的是,我并没有如司马先生所言,因为汉沽清河农场潮白监狱里的那位而得精神分裂症。
其实大可不必耿耿于怀地纠结于中国人拿不拿得到诺贝尔奖。外交部发言人秦刚今天也说了,诺贝尔奖怎么发、发给谁,这是中国的内政。因此,诺贝尔奖不发给中国人,不发给胡主席和温总理,这完全是出于泱泱大国谦虚礼让的风采和气度。
