其他

遭遇RootKit.Win32.GameHack.GEN,Trojan.PSW.Win32.GameOL.GEN,RootKit.Win32.Mnless等1endurer 原創2008-03-05 第1版今天，一位網友說他的電腦昨天下午突然變得很慢，只好強制關機，今天開機時有黑色視窗閃過，用瑞星查殺出一些病毒，但系統反應還是比較慢，讓偶幫忙檢修。通過QQ遠程協助，先檢查瑞星的殺毒日誌（片段）：/===病毒名稱   處理結果    掃描方式   路徑   

繼續寫定時強制休息程式。定時/倒計時功能使用了定時器。當強制休息時間還剩30秒時，我們就在螢幕右下角顯示倒計時視窗。要在螢幕右下角顯示倒計時視窗，在計算視窗位置時，我們可以不用考慮系統工作列的高度等問題，而直接在案頭工作區中進行定位。實踐感覺，自下向上顯示倒計時視窗要比漸顯效果更能吸引電腦使用者的注意力。另外，加上一些音樂、聲音提示效果會更好。這也算是對《MASM32編程實現視窗漸入漸出效果》(http://blog.csdn.net/Purpleendurer/archive/2008/09/

在羅雲彬大蝦的網站上找到了寫一篇用MASM32寫螢幕保護裝置程式的文章:用彙編編寫螢幕保護裝置程式http://211.90.225.98:22366/view.asp?file=71我在QEDITOR中成功編譯了文中的程式,但運行時系統提示找不到scrnsave.DLL在http://board.win32asmcommunity.net的hutch-- 和 thefox

endurer 原創2007-04-22 第1版加入的代碼為：/---＜iframe src='hxxp://s**72.91**152**0.net/site/g****g/1**.htm' height=0 width=50＞＜/iframe＞ ---/hxxp://s**72.91**152**0.net/site/g****g/1**.htm 包含為：/---＜DIV style="CURSOR:

;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<:FileName: ini-demo.asm;Function: demo the operation of ini file;Author: Purple Endurer;;Log;

遭遇vchelp.exe,videodevice.dll,swchost.exe,IEXPLORE32.Sys等2 endurer 原創2007-11-24 第1版(繼1)log 中的一些項目在遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等http://endurer.bokee.com/6538972.htmlhttp://blog.csdn.net/Purpleendurer/archive/2007/11/20/1895534.

ProblemInternet Information Services (IIS) is a favorite target of hackers. Thus, it's critical for administrators who manage IIS Web servers to make sure that they are locked down. The default installations of IIS 4.0 and IIS 5.0 are particularly

endurer 原創2007-06-09 第1版一位朋友說他的電腦上不了網，NOD32和金山毒霸也無法啟動，讓偶協助檢修。由於上不了網，沒法下載 pe_xscan，於是先用之前儲存在電腦裡的HijackThis分析。不料 雙擊 HijackThis，無法啟動。雙擊案頭上的瑞星卡卡安全助手表徵圖，這個助手也沒出來。運行 msconfig.exe，還好能用，發現幾個可疑啟動項和服務。懷疑電腦中了映像劫持的病毒，於是把 HijackThis.exe 改名為 4.exe，這樣 HijackThis

endurer 原創2007-06-10 第1版（續）pe_xscan 的 log 中的 O26 項就是列出的就是映像劫持，可以看到 HijackThis、卡卡安全助手、毒霸的程式榜上有名。 另外，WinRAR開一會就會被關掉，重啟電腦時選擇以安全模式啟動後，機子直接重啟了。  由於regedit.exe沒有被映像劫持，所以可以直接開啟，刪除註冊表中的O26(映像劫持)的項目和O23的項目。 下載Dr.Web CureIt!查殺了一次，有幾個注入系統進程的DLL要will be cured

auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等1endurer 原創2008-06-28 第1版直接貼上 pe_xscan 的 log：pe_xscan 08-04-26 by Purple Endurer 2008-6-28 16:58:49 Windows XP Service Pack 2(5.1.2600) MSIE:6.0.2900.2180 管理使用者組 正常模式

資訊源:瑞星社區 作者:hotboy     根據惡意代碼跡象的重要性對其進行適當的分級是很重要的，因為它們會傳播到其他電腦的系統中。一般情況下，對惡意代碼進行基本的分析可以確定入侵的是哪種惡意代碼，從而也就可以很容易的確定該惡意代碼可能採取的行動。大多數情況下，網路的管理者並不一定知道內網被感染電腦的具體數量，但是他們可以判斷出感染的規模是大範圍的感染還是僅有很少的系統被感染。    4 隔離、刪除和恢複   

RootKit.Win32.Agent,Trojan.PSW.Win32.GameOnline,Trojan.Win32.Mnless等2 endurer 原創2007-12-08 第1版這段時間事情多，沒時間遠程協助了，讓網友進行如下處理：重啟電腦到帶網路連接的安全模式，用 WinRAR刪除 E:/autorun.inf 和 E:/AutoRun.exe。很奇怪，這個AutoRun.exe只在E盤。下載 DrWeb CureIt!

endurer　原創2006-09-18　第1版第1個網站 首頁被加入的的代碼：/-------＜iframe src='htxxp://www.***.why***all.com/1' width='0' height='0' frameborder='0'＞＜/iframe＞-------/1.htm  內容為加入多餘空格的VBScript指令碼代碼。（瑞星報為： Trojan.DL.VBS.Agent.r，Kaserpsky報為：Trojan-Downloader.JS.Agent.ba）

ARP病毒自動加入傳播Trojan.PSW.Win32.OnlineGames的代碼endurer 原創2007-07-31 第1版前兩天，一位網友反映他最近開啟網頁顯示都是亂碼。讓他把網頁原始碼傳過來分析，發現網頁首部被加入代碼：／---＜iframe src＝hxxp:／／**．9**-*6*．in／n．js width＝1 height＝1＞＜／iframe＞---／hxxp://**．9**-*6*．in/n．js

如果你在用組合語言來開發windows下的程式的話，MASM32是很好的選擇。（Masm32請用google搜尋罷。）工欲善其事，必先利其器。本文主要針對masm32

遭遇vchelp.exe,videodevice.dll,swchost.exe,IEXPLORE32.Sys等1endurer 原創2007-11-23 第1版一位網友的電腦開機進入案頭後，提示svchost.exe、D401AB94.EXE等出錯。使用一鍵還原恢複C盤，無效。請偶幫忙檢修。下載 pe_xscan 掃描 log，並分析，發現如下可疑項：/===pe_xscan 07-08-30 by Purple Endurer2005-11-21 20:7:50Windows XP

http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=4914714&page=1http://news.onlinedown.net/info/13063-1.htm網路自由訪問 巧解除Win XP檔案分享權限設定限制　筆者的很多朋友都曾遇到過這樣的問題：在安裝了Windows

endurer 原創2007-04-24 第1版昨天，一位網友的電腦中了Trojan.PSW.OnlineGames.amc，雖然被瑞星查殺了，但他不太放心，讓偶通過QQ遠程協助幫忙檢查。一看，瑞星即時監控居然沒有開，不過IE防漏洞補丁運行了……檢查瑞星的殺毒日誌如下：/---病毒名稱  處理結果  掃描方式 路徑 檔案 病毒來源Trojan.MNless.jys  刪除成功 定時掃描  C:/WINDOWS/system32/drivers ecdacgcf.sys

 資訊源:瑞星社區 作者:hotboy    探測和分析    1 根據具體的情況決定處理的順序     1.1 確定被感染的裝置和資源，預測哪些裝置和資源將會被感染     1.2 從技術的角度評估惡意代碼目前和潛在的影響     1.3 根據技術方面的影響以及受影響的資源，根據網路矩陣優先順序選擇合適的單元     2 發送病毒通告給區域網路中相關人員和外網中的相關組織或單位    封鎖，殺除和恢複    3 對惡意代碼的封鎖     3.1 確定被感染的系統     3.2

當我們設定的強制休息時間到了，我們需要讓強制休息程式視窗在頂層全螢幕顯示，暫時把螢幕擋住，阻止使用者操作。 讓視窗全螢幕顯示的一般步驟是： 1、用GetWindowPlacement（）擷取並儲存視窗當前尺寸、位置資訊2、用GetWindowLong（）取得用視窗屬性，用SetWindowLong（）去除視窗標題列屬性WS_CAPTION