pe_xscan
endurer@bokee
endurer@nnsky
endurer@csdn
360卫士报comres.dll为Win32.Trojan.PWS.a.rgrk
endurer 原创
2009-06-27 第1版
一位网友说的他的电脑中的360卫士将 c:\windows\system32\comres.dll 报为Win32.Trojan.PWS.a.rgrk,按提示重启电脑也不能清除,请偶帮忙清除。
endurer 原创
2009-06-20 第1版
昨天又有一位朋友的电脑中的IE浏览器被hxxp://www.9348.cn劫持,而且症状比前一位还要重:输入Windows登录密码后,要等N久才能进入桌面,有时无法拔号上网,偶能能上网,又不定期弹广告……系统巨慢~
以带命令行提示符的安全模式进入Windows,使用电脑中原来存有的老版本的pe_xscan 扫描 log 并分析,发现如下可疑项:
pe_xscan 08-07-01 by Purple Endurer
2009-6-19 18:0:32
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
安全模式
F3 - REG: win.ini: load = flymy.exe
O4 - HKLM\..\RunOnce: [EgwM] %systemroot%\system32\rundll32.exe %systemroot%\system32\vrcm.dll ,DllRegisterServer
O4 - HKLM\..\Policies\Explorer\Run: [ming9bstart] C:\WINDOWS\system\ming9b090423.exe
O21 - SSODL - WebChec
(续:IE主页被改为hxxp://www.9348.cn?原来是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪1
http://blog.sina.com.cn/s/blog_49926d910100dqt6.html)
endurer 原创
2009-06-18 第1版
从pe_xscan的log上看,最近病毒常用的攻击方法都用上了:浏览器帮助对象(O2-BHO)、msconfig.exe中看不到的组策略启动(O4 - HKLM\..\Policies\Explorer\Run)、磁盘自动播放功能(autorun.inf)、 ShellExecuteHook(O24 - ShlExecHook)以及阻止安全防护软件启动的映像劫持技术(O26 - IFEO)。
从log中的
C:\WINDOWS\system32\COMRes.dll | 2009-6-11 11:28:50
C:\WINDOWS\sys
endurer 原创
2009-06-13 第1版
今晚一位朋友说他的电脑可能中毒了,系统反应很慢,IE主页被改为hxxp://www.9348.cn,不定期弹广告窗口,在桌面上添加广告快捷方式,硬盘双击打不开……请偶帮忙检修。
下载 pe_xscan扫描 log并分析,发现如下可疑项(进程模块部分有省略):
/---
pe_xscan 09-04-28 by Purple Endurer
2009-6-13 21:40:33
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
正常模式
[System Process]* 0
C:\WINDOWS\System32\SGCQdll.dat| 2009-6-11 11:34:44
C:\WINDOWS\system32\ZfbJ9AWwU.dll| 2009-6-11 23:44:42
C:\WINDOWS\system32\JBn2ypqY23vWX.dll| 2009-6-11 11:35:23
C:\WINDOWS\system32\
开发人员们,测试员们正在测试你们的耐心?
作者:Sonja Thompson
翻译:PurpleEndurer,2009-06-09 第1版
标签: 开发人员, 测试人员, Sonja Thompson
稍事休息后我回来办公桌前,发现收件箱中有几封新邮件。其中一个名字立即引起了我的注意。这是一位同事的名字,他被安排测试我写的一个脚本。收件箱中有他在六分钟内发来的三封电子邮件。第一封邮件只是说“那个脚本不能工作。”从邮戳看,第二封是两分钟后发的,“我不能让那个脚本运行!但现在看起来产生垃圾!”并且在第三封中惊呼,“拉维,一切都好,我正在看错误目录!”
虽然我被这个测试员发出这些消息的仓促给惹恼了,但我也因为这这个一系列电子邮件而偷乐了一阵子。“测试员会尽力打破一天的单调, ”我想。
然而,玩笑之余,如果您是开发人员,我相信您遇到一些测试员,他们似乎将测试定义为“测试开发人员。 ”他们的字典似乎如下所示:
测试 名词 测试开发人员或其耐心的艺术
你把程序发给他们,他们尽职尽责地把程序投入测试——通过双击可执行文件或在命令行输入可执行文件的名称,并按下回车键。然后来个快速回应, “拉维,程序不能正
采用MASM32开发。
一、功能
类似控制面板中的“添加删除程序”,不过速度要快得多。
1、查看、删除(需要以具有管理员权限的帐户登录)注册表中的卸载程序项;
2、卸载程序;
3、将卸载命令行写入批处理文件。
你可以将卸载命令行保存到程序所在文件夹的批处理文件(文件名格式为卸载xxx.bat,其中xxx为程序名)中,然后再删除注册表项。
二、下载地址:
http://download.csdn.net/source/1373148
http://purpleendurer.ys168.com
三、界面
四、文件信息:
文件说明符 : F:\masm32\pe_works\DelUninstall\DelUninstall_0_0_0001B
The real solution to malware
现实的恶意软件解决方案
Author: Chad Perrin
作者:Chad Perrin
翻译:endurer,2009-06-01 第1版
Category: Malware, Policy, Privacy, Security
分类:恶意软件,策略,隐私,安全
来源:http://blogs.techrepublic.com.com/security/?p=1561&tag=nl.e101
The solution to malware is closer, and easier, than you probably realize.
恶意软件的解决办法比你可能了解的更近,更方便。
欧冠决赛:巴萨降伏红魔列欧战榜首 梅西完胜C罗成世界第一
欧冠红蓝问鼎,红魔伏首称臣;球王梅西登基,C罗随从提鞋!:-D
比分预测:红蓝 3:1 红魔
红蓝:三叉戟各进一球
红魔:鲁尼或特维斯进一球
遭遇Windows Update.exe/Trojan.Win32.Autoit.fc,情色发布器.exe/AdWare.Win32.Undef.eko
endurer 原创
2009-05-19 第1版
一位朋友的电脑最近出现了奇怪的毛病,请偶帮忙检修。
打开电脑进入Windows桌面后,感觉电脑很卡,除了超级巡警窗口,打开其它窗口都像是不停地自动在进行前台程序和后台程序的切换,一闪一闪的,很难操作。
打开任务管理器,检查进程的CPU占用率,发现CPU使用率100%,其中进程Windows Update.exe占用了70%左右。
重启电脑到“带命令行提示的安全模式”,运行pe_xscan扫描log并分析,发现如下可疑项:
pe_xscan 09-04-28 by Purple Endurer
2009-05-19 14:12:4
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
带命令行提示的安全模式
F2 - REG: system.ini: UserInit =
