其他

endurer　原創2006-08-01　第2版　補充殺毒軟體的反應2006-07-31　第1版今早，一位網友的電腦，使用的是Windows XP SP2，進入Windows後，就彈出一個命令提示字元視窗，提示嘗試停止Windows防火牆。請我幫忙檢查。先到瑞星網站下載“瑞星註冊表修複工具”並運行，發現EXE檔案關聯被改為SVCH0ST.EXE。修複！到 http://endurer.ys168.com下載 HijackThis 掃描log，發現如下可疑進程和項目：-------------C:

endurer　原創2006-07-21　第1版這一部分回憶一下修複過程。重啟電腦，按F8鍵，選擇以安全模式啟動，不料出錯：-------------因為以下檔案的損失或者丟失，Windows無法啟動<Windows root>/system32/ntoskrnl.exe請重新安裝以上檔案的拷貝。-------------但正常模式可以啟動。用瑞星註冊修複工具修複EXE檔案關聯用procview終止進程

遭遇HBInject.exe,HBmhly.dll,sys07003.dll,zsqf.dll,ytfa.dll,ytfb.dll,ytfc.dll等endurer原創2008-08-08 第1版昨天一位朋友說他開啟了網上的一個flash檔案，flash播放器出錯，電腦失去響應，強制重啟電腦後，瑞星監控小傘沒顯示，電腦反應很慢。請偶幫忙檢修。用 pe_xscan 掃描 log，在掃描進程、模組時速度太慢，只掃描了前幾個進程就強制轉入後續掃描，分析發現如下可疑項：pe_xscan 08-08-01

endurer 原創2006-12-23 第2版 補充修訂2006-12-22 第1版昨天下午，一位朋友的電腦接入隨身碟後彈出錯誤資訊框，提示找不到A盤什麼的，關了又調出來。讓我幫忙看看。用WinRAR開啟隨身碟，發現檔案 autorun.inf 和 sss.exe，刪除後又立即產生。到 http://endurer.ys168.com 下載 HijackThis 和 ProcView。運行ProcView，按最後修改時間排序，發現可疑進程：/=====C:/Program

免費送瑞星產品序號？其實送的是Trojan-Downloader.Win32.VB.lbv endurer 原創2009-03-28 第1版 在某論壇上看到一個貼子，說是免費送瑞星產品序號。 點擊下載附件，卡巴斯基報告：hxxp://bbs.***.com/images/bbs4/attachment/200903/23/瑞星產品序號.rar//瑞星產品序號/4501.exe/CaptchaOCR.dll Maxthon Web Browser 檢測到威脅: Trojan-Downloader.

endurer 原創2006-11-02

五步清除客戶電腦中的病毒和間諜軟體作者：Erik Eckel翻譯：endurer，2009-07-10第2版標籤：感染，病毒，反間諜功能軟體，間諜軟體，廣告軟體 & 惡意軟體，網路威脅，安全，病毒和蠕蟲，Erik Eckel 　　IT顧問必須定期清除客戶電腦中頑固、常常再生和有侵蝕作用的間諜軟體和病毒。Erik Eckel分享了他迅速讓系統回複穩定啟動並執行首選策略。 　　客戶們令間諜軟體和病毒感染工作站、

遭遇 kangyi.exe/Trojan.Win32.Undef.hmf,smss.exe,SERVICES.EXE等2endurer 原創 2008-06-12 第1版(繼1)運行隨身碟上的 FileInfo （可到 http://purpleendurer.ys168.com下載）提取可疑檔案資訊，只得到：檔案說明符 : C:/WINDOWS/System32/kangyi.exe屬性 : -SH-擷取檔案版本資訊大小失敗!建立時間 : 2008-6-11 9:39:0修改時間 : 2008

語言種類：英文版本號碼：V6.31檔案大小：6653 K介面預覽：暫無發布日期：2005.07.01軟體類型：免費軟體等級：系統平台：Win 98/ME/2000/XP軟體廠商：H+BEDV Datentechnik

譯＞ESET SysInspector/系統檢查員 功能、下載、FAQ翻譯：endurer，2008-05-06 第1版Features（http://www.eset.com/esibeta/）功能ESET SysInspector is a new, free utility program from ESET, the developer of ESET Smart Security and ESET NOD32 Antivirus.  While not an anti-malware

作者：endurer今天一位朋友說他的電腦中了QQ尾巴病毒。下班後去幫忙看看。一、先用HijackThis掃描LOG，發現可疑進程C:/WINDOWS/system/rundll32.exe二、.然後到http://online.rising.com.cn/ravonline/RavSoft/Rav.asp使用瑞星線上免費查毒，掃描結果如下：其中病毒進程C:/WINDOWS/system/rundll32.exe被瑞星終止。三、接下來，設定系統顯示所有檔案和檔案夾，並顯示所有檔案的副檔名，操作方

 主要功能：查看、備份系統開關機記錄你可以先點擊列表框的欄位標題條來對記錄進行排序，然後再備份。 檔案說明符 : C:/masm32/works/BootClos/BootClos.exe屬性 : A---數位簽章:否PE檔案:是語言 : 中文(中國)檔案版本 : 0.0.0001 beta1說明 : 查看、備份系統開關機記錄著作權 : PurpleEndurer產品版本 : 0.0.0001 beta1產品名稱 : BootClos公司名稱 : PurpleEndurer合法商標 :

endurer 原創2006-12-01 第1版 網頁首部被加入兩段代碼：程式碼片段1：/---------＜iframe height＝0 width＝0 src＝"hxxp://ip-ie.www***113.cnidc.cn/w***m/"＞＜/iframe＞----------/w***m.htm的內容為的內容為 escape( ) 加密的代碼，解密後的內容為 JavaScript 指令碼程式，利用 Microsoft.XMLHTTP、Adodb.Stream 下載

;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<;Filename: KeyCode.asm;Function: Display the code of key that you pressed;Author : Purple Endurer;;Date Log;-----

;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<;Name    : Dialog2.asm;Function: 玩話程式,看看你是否能點中"否"按鈕;Author  : Purple Endurer;

Monitor your outbound DNS connections監控出站DNS串連 Author: Paul Mah作者：Paul Mah 翻譯：endurer 2009-04-08第1版 Category: Infrastructure, security分類：基礎設施，安全 Tags: DHCP, Monitor, Network, DNS, Trojan Horse, Server, Domain Names, Networking, Spyware, Spyware,

endurer　原創2006.03.20　第2版　補充瑞星的回複。2006.03.16　第1版今天幫同事清理電腦，用HijackThis掃描，發現如下需要修複的項目： O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM/../Run: [foxdh] C:/WINDOWS/System32/foxdhsend.exeO4 - HKLM/../Run: [] regedit -

　　endurer原創 2005.11.04第1版　　*註：為了安全起見，文中惡意網址的“http://”均用“hxxp://”代替。　　昨晚幫同事（同事的電腦使用win

endurer　原創2006-07-30　第1版這個木馬會跑到資源回收筒裡藏身，相當狡猾！某個惡意網頁上的代碼會建立檔案 C:/VTDETETT.hTa 並運行。C:/VTDETETT.hTa 在IE臨時檔案夾中搜尋 bbs[1].css 並複製為 C:/recycled/ok.exe（C:/recycled 就是資源回收筒所用的檔案夾）；建立檔案 CMD.DAT 並運行。CMD.DAT 負責刪除 C:/VTDETETT.hTa 和 CMD.DATKaspersky

endurer 原創2006-11-30 第1版一位網友的電腦，IE瀏覽器首頁被強制設定為www.6781.com，讓偶幫忙檢修。到 http://endurer.ys168.com 下載 HijackThis  和 ProcView。在用 HijackThis 掃描 log，產生啟動項列表，用 ProcView 匯出的系統進程列表，傳回來。在 HijackThis 掃描的 log發現如下可疑項：/-------Logfile of HijackThis v1.99.1Scan saved