标题: 请问微点工程师，类似这样的byshell木马，应该怎么查？ [打印本页]

---

作者: jk1811     时间: 2009-4-17 13:01    标题: 请问微点工程师，类似这样的byshell木马，应该怎么查？

http://www.iforchina.com/show.aspx?id=22949&cid=236

---

作者: jk1811     时间: 2009-4-17 13:06    标题: 我遭遇到了类似的“三无”木马，不知该怎么查！！！

也许比之还更强，卡巴2009等主流杀软无法防，重分区，格式化，仍然被黑！netstat看不出个所以然来，冰刃、syscheck中没看到什么可疑进程，也许是我水平低，不会分析模块，不知该怎么办，难道真的没克星可以对付这些WBD吗？

[ Last edited by jk1811 on 2009-4-17 at 13:08 ]

---

作者: 节约用水     时间: 2009-4-17 17:04
不变的真理，有病毒行为就能杀

---

作者: 405016     时间: 2009-4-17 17:17
Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序，查杀确实很难

---

作者: jk1811     时间: 2009-4-17 18:25
没有高手出来指点一下吗？现在什么工具最可用

---

作者: HomeSGerMine     时间: 2009-4-17 18:27
Rootkit技术是吗？现在基本上没用了，至少目前主流的杀软都可以侦测，当然包括微点。这种“三无”病毒微点是可以查杀的，以前我也有一个Rootkit级隐藏的木马，但是还是逃不过微点的法眼....

---

作者: jk1811     时间: 2009-4-17 18:33
除了微点，能教一下手工查杀吗？先感谢了

---

作者: jk1811     时间: 2009-4-17 18:36
这样双保险，懒人可以用微点，我喜欢自己动手把后门揪出来。更有成就感！

---

作者: 点饭的百度空间     时间: 2009-4-17 18:49
byshell过不了微点 论坛有这样的测试自己搜

---

作者: jk1811     时间: 2009-4-17 18:56
我是亲身体验，用了微点还是不能保险，还是被监控，真不知对方用了什么鬼东西！

---

作者: qq200878     时间: 2009-4-19 17:46
谁说byshell能过微点的

---

作者: jk1811     时间: 2009-4-20 14:44
不要市场意识那么强嘛,教一些手工的知识,论坛就是交流的地方

---

作者: jk1811     时间: 2009-4-20 14:44
怎么感觉这里三句话不离本行呢?

---

作者: jk1811     时间: 2009-4-20 14:46
象链接上所说的东东,它怎么做到无端口的?能帮我们分析一下吗?06年的东西都那么选进了,分享一下嘛.有什么不好

---

作者: ChiChou     时间: 2009-4-25 11:01
看原代码就知道了~
哈哈~

---

作者: 微点放大是焦点     时间: 2009-4-28 12:09
查了下，是07年的病毒快报了。这里有讲微点能查杀http://bbs.micropoint.com.cn/sho ... p;highlight=byshell

清除Byshell

　　1． 安装一个具备进程管理功能的安全工具软件，查看系统进程，可以看到很多被明显标识出的进程。这些进程都是可疑进程，很有可能有些进程已被植入木马病毒。点击其中的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll。

　　2． 找出来该安全工具软件中与服务管理相关的选项，同样可以看到多个被明显标识出的系统服务，说明这些服务都不是系统自身的服务。经过查看发现一个名为Hack的服务较为可疑，因为它的名称和木马模块的名称相同。

　　3． 找出工具软件中与文件管理相关的标签，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文件hack.dll，与此同时还发现一个和模块文件同名的可执行文件，看来这个木马主要还是由这两个文件组成的。

　　4． 现在我们就开始进行木马的清除工作。在进程管理选项中首先找到被明显标识的IE浏览器进程，选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击服务管理选项，选择名为Hack的服务后，点击右键菜单中的“删除选中的服务”命令来删除。再选择程序中的文件管理选项，对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后，点击右键菜单中的“直接删除文件”命令，完成对木马的最后一击。然后重新启动系统再进行查看，确认木马是否被清除干净。

　　5． 由于木马程序破坏了杀毒软件在SSDT表中的内容，因此大家最好利用软件自带的主动修复功能来进行修复，或者重新将杀毒软件安装一次即可。

[ Last edited by 微点放大是焦点 on 2009-4-28 at 12:23 ]

---

作者: mamsds     时间: 2009-4-28 17:10
为什么杀毒软件不可以保护SSDT呢？

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn