论坛: 病毒专区 标题: 请教如msgsrv32.exe东东代表什么 复制本贴地址    
作者: flyaway [flyaway]    论坛用户   登录
还有kernel32.exe
mprexe.exe
mmtask.tsk
tapisrv.exe
mdm.exe
msinfo32.exe
这些东东让我很紧张啊

地主 发表时间: 07/14 15:06

回复: fqjpower [fqjpower]   论坛用户   登录
仔细看看WIN2000的书对你会有所帮助!

B1层 发表时间: 07/18 13:20

回复: catmi [catmi]   版主   登录
kernel32.exe是一个木马的,别人告诉我的


B2层 发表时间: 07/20 12:41

回复: catmi [catmi]   版主   登录
kernel32.exe是一个木马的,别人告诉我的


B3层 发表时间: 07/20 12:41

回复: flyaway [flyaway]   论坛用户   登录
谁啊,能和我说说吗?

对了,你知道Mdm是什么吗?

B4层 发表时间: 07/30 20:50

回复: myback [georgeju]   论坛用户   登录
。MDM.EXE(Michine Debug Manager)是属于Microsoft Script Editor 的程序文件,主要针对一些应用程序进行除错(Debug)处理,该程序随系统加载后一直处于后台运行状态,通过按Ctrl+Alt+Del组合键可在“关闭程序”对话框中的程序列表中看到。MDM.EXE可经由其他应用程序(如Office 2000)、IE5或Visual Studio等开发工具的安装过程而被带入系统中。 

可以不加载MDM.EXE,不加载的方法有以下三种: 

1. 将MDM.EXE更名换姓,或者直接删除(MDM.EXE只是某些应用软件附带的工具程序,删除后不会对Windows系统造成影响)。 

2. 在Msconfig.exe程序中将MDM.EXE从启动程序列表中取消。 

3. 直接修改注册表项目:打开注册表编辑器,进入 
“HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\ RunServices”,删除其中关于MDM.EXE的字符串。 

切记:在进行上述操作前,先要按Ctrl+Alt+Del组合键,在“关闭程序”对话框中的程序列表中选择MDM,选择“结束任务” ,终止MDM.EXE的工作。 

还有两个问题需要注意,一是通过安装其他应用程序(多为开发类应用程序),MDM.EXE有可能会再次带入系统中;二是如无需要,最好在“Internet属性”的“高级”标签中勾选“浏览――禁止脚本调试”选项,这样,在使用IE浏览器时就可避免执行MDM.EXE进行web页脚本调试。 




[此贴被 myback(georgeju) 在 07月31日17时12分 编辑过]

B5层 发表时间: 07/31 17:20

回复: myback [georgeju]   论坛用户   登录
刚刚还看到一篇有关的文章:

Doly v1.1 - v1.7 (SE)===================这个是木马
清除木马V1.1-V1.5版本:

这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe
把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe
c:\Program Files\Mdm.exe

重新启动Windows。

接着,打开win.ini文件
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load=
保存win.ini文件。

最后,修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"

HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\
del c:\win.reg
关闭保存autoexec.bat。
OK

清除木马V1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板――添加删除程序――删除memory manager 3.0,这就是木马程序,但是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容删除:
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件:
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录删除。

清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
关闭保存autoexec.bat

然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。

最后,删除以下木马程序:
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意:kernal32是A
OK




[此贴被 myback(georgeju) 在 07月31日17时25分 编辑过]


[此贴被 myback(georgeju) 在 07月31日17时05分 编辑过]

B6层 发表时间: 07/31 17:27

回复: myback [georgeju]   论坛用户   登录
kernel32.exe




一     "坏透了"邮件蠕虫病毒



  目前,在互联网上流行一种新的邮件蠕虫病毒--"坏透了(I-WORM/Badtrans.b),其大小为29,020字节。该病毒利用OUTLOOK的漏洞进行传播,破坏力强,短期内就能形成大面积传染,故在此为大家介绍一下此病毒的特性。


  当用户将鼠标箭头移到带有病毒体的邮件名上,而不运行此邮件附件,该病毒自动被运行,删除系统中已存在的KERNEL32.EXE文件,并将病毒自身作为KERNEL32.EXE文件复制在C:\WINDOWS\SYSTEM目录内,同时增加注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=Kernel32.exe
,在下次系统启动时,该病毒自动被运行,在Win9X系统中,该病毒把自身作为系统服务隐含在任务栏中,使其具有很好。该病毒还调用远程控制程序,记录被感染计算机的操作信息,使其重要信息泄密,从而造成重大损失。


  带有该病毒的电子邮件为:其标题是随机的;邮件的内容是空的;邮件附件的文件是随机变化的。附件文件名是由三部分字母组成的,第一部分:从以下名称中选择一个:
HUMOR、DOCS、S3MSONG、……;第二部分:从三个名称中选择一个:.DOC.、.MP3.、.ZIP.;  第三部分:从两个名称中选择一个:pif、scr。例如带毒邮件的附件名可能为:CARD.DOC.scr、HUMOR.MP3.pif。另该病毒还生成一个KDLL.DLL病毒文件,是专门储藏输入键盘内容功能的特洛伊木马。
手工清除方法:
  1在win2000、NT手工清除方法: 在win2000、NT下结束进程 ;方法:按alt+shift+ctrl 键出现任务管理器窗口,在进程选项中,查找Kernel32.exe文件,选中后结束程序进程,在系统目录 winnt\system32\中删除Kernel32.exe、KDLL.dll文件,和注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=Kernel32.exe键值, 
  2win9x 手工处理方法:在 windows\system\ 下查找Kernel32.exe 、Kdll.dll并删除文件;注册表清除方法同上




二    冰河
冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。

  冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。

 

  清除方法:

  1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。

  2、冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\
CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它。

  3、在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windows\
CurrentVersion\Runservices下,还有键值为C:\windows\system\Kernel32.exe的,也要删除。

  4、最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。

 



B7层 发表时间: 07/31 17:55

回复: flyaway [flyaway]   论坛用户   登录
谢谢老兄,不过老兄,你能告诉我这些你是从那里学的吗?

那个网站,还是那本杂志,省得你以后也为了教我这样的新人费心

B8层 发表时间: 08/02 12:50

回复: myback [georgeju]   论坛用户   登录
不客气
这些东西到网上搜都能搜到(google啊什么的)


[此贴被 myback(georgeju) 在 08月02日15时50分 编辑过]

B9层 发表时间: 08/02 15:25

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号