日期:2014-05-17  浏览次数:21162 次

有东西驻留内存修改浏览器快捷方式,杀毒软件无效
进程里面没有发现明显可疑的条目,服务项里也没有,我的IE快捷方式被篡改为
"C:\Program Files (x86)\Internet Explorer\iexplore.exe" http://www.2345.com/?kunown

Chrome快捷方式也被篡改为
"C:\Users\Username.PC\AppData\Local\Google\Chrome\Application\chrome.exe" http://www.2345.com/?kunown

手动删除URL部分后没过多久又被修改回去。我用的正版ESET ESS5更新到最新病毒库,木马清道夫也是正版的最新病毒库,不过这东西2010版过后就没出新的。刚下了个360杀毒更新到最新病毒库后查杀也是无解。我想请教一下有没有什么软件可以监视包括*.lnk快捷方式在内的文件正在被哪个进程写入?我希望能设置一个被监视的文件,在任何进程试图写入它的时候提示报警并汇报出该进程的详细信息,有现成的工具么?谢谢。
------最佳解决方案--------------------
引用:
求监视方法,我就是好奇怎么知道到底是什么东西动了我的文件。
        ……


后门定时器每30分钟触发一次,所以注意查看你的浏览器快捷方式上次修改时间,就可以推测出下次
然后再下次触发前,打开监视软件(我用的ProcessMonitor)就可以看到临时进程scrcons.exe对快捷方式的写操作
------其他解决方案--------------------
Sysinternal 的 ProcMon.exe 程序可以吧,现在好像是归微软了,整个组件可以从微软的网站上下载到。
------其他解决方案--------------------
我最近也出现相同情况,快速启动栏的360极速浏览器被恶意修改,也是带上http://www.2345.com/?kunown
后缀。估计是装啥垃圾软件造成。
------其他解决方案--------------------
IE修复专家
winsockfix
等工具
------其他解决方案--------------------
祸首已经找到,是哥们儿发给我的一个查看VeryCD隐藏链接的小工具。不过不是通过任何工具查到的,想用特定文件被读写来触发报警的想法依旧是没有找到答案。这个问题其实和病毒之类没有必然联系了,只是侦测文件读写行为的发起进程。

先挂几天,再看看有没有更多收获,到时候结帖给分。
------其他解决方案--------------------
引用:
祸首已经找到,是哥们儿发给我的一个查看VeryCD隐藏链接的小工具。


我也是用了这小工具中标了 弄了大半天基本查出点眉目了

通过文件读写监视发现 后门每30分钟更改一次浏览器快捷方式 临时进程是scrcons.exe
这是wmi下的脚本宿主 利用WMI中的永久事件消费者ActiveScriptEventConsumer(简称ASEC)实现的“三无后门”  见资料:http://bbs.myhack58.com/read.php?tid-185642-uid-1515.html

求去除方法!!!!
------其他解决方案--------------------
引用:
我也是用了这小工具中标了 弄了大半天基本查出点眉目了

通过文件读写监视发现 后门每30分钟更改一次浏览器快捷方式 临时进程是scrcons.exe
这是wmi下的脚本宿主 利用WMI中的永久事件消费者ActiveScriptEventCons……


求监视方法,我就是好奇怎么知道到底是什么东西动了我的文件。
------其他解决方案--------------------
浏览器被劫持了么,这个网站确实是挺恶心的
用金山清理专家试试
如果还不行,看它运行的进程和调用了哪些文件,然后到安全模式下强行删除
------其他解决方案--------------------
引用:
浏览器被劫持了么,这个网站确实是挺恶心的
用金山清理专家试试
如果还不行,看它运行的进程和调用了哪些文件,然后到安全模式下强行删除

这后门实际是无端口、无文件、无进程(有临时进程scrcons.exe,但出现时间极为短暂且为系统自带文件)的,巧妙利用了WMI中的永久事件消费者(ActiveScriptEventConsumer)和计时器(__AbsoluteTimerInstruction或__IntervalTimerInstruction),脚本代码完全隐藏在CIM存储库中,不以独立的文件存在,查杀比较困难。

同求查杀方法
------其他解决方案--------------------
引用:
后门定时器每30分钟触发一次,所以注意查看你的浏览器快捷方式上次修改时间,就可以推测出下次
然后再下次触发前,打开监视软件(我用的ProcessMonitor)就可以看到临时进程scrcons.exe对快捷方式的写操作
       ……


ProcessMonitor我还真没有,刚弄了一个。这是第一步。至少可以锁定一个进程了,至于那个进程是恶意进程本身还是被劫持的进程,即使自己不清楚也有足够的信息拿出来跟人交流了。我这水平发现都发现不了,别说查杀了。貌似看雪论坛上高手多,有没有试试?