sunburner 发表于 2006-11-14 20:38:04

[注意]似乎中了木马

打开论坛任一页面,遨游状态栏显示链接向h t t p //w w w. zzyqr .com/……,随后杀毒软件就开始报发现病毒。其他网站没有这个问题。

qs 发表于 2006-11-15 11:34:59

我家里的瑞星和公司里的诺顿都没有报警,会不会和遨游有关系?还有谁的电脑在上论坛时报警?

zwz10101 发表于 2006-11-17 18:12:47

瑞星无反应,似乎没影响

_CCC_大智 发表于 2006-11-16 21:59:25

检测到了,VirusScan自动检测的,据我堂哥说这个软件有世界最全的病毒库。是特洛伊喔

天使归来 发表于 2006-11-16 22:54:16

江民无反应,病毒库2006-11-11更新的...

天使归来 发表于 2006-11-16 23:09:15

有此现象....准备杀毒

阿木 发表于 2006-11-17 12:21:23

已经清除

qs 发表于 2006-11-17 09:44:29

有劳阿木兄了。

_CCC_大智 发表于 2006-11-17 21:56:44

奇怪了,还是检测到病毒,不过原来是一下子几十个文件,现在只是删除两个文件,阻拦一个进程了.检测结果是什么"VBS/Psyme",不知道什么意思,是病毒名么?

qs 发表于 2006-11-17 22:34:31

<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0><TR bgColor=#f0f0f0><TD colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif"></STRONG><STRONG>病毒标签:</STRONG></TD></TR><TR><TD align=left width="16%"></TD><TD 4px" width="84%"><!-- InstanceBeginEditable name="标签" --><P align=left>病毒名称: Trojan-Downloader.VBS.Psyme.ap病毒类型: 木马危害等级: 中文件长度: 3,143 字节 感染系统: windows 9x 以上版本 开发工具: Visual Basic Script <!-- InstanceEndEditable --></TD></TR><TR><TD align=left bgColor=#f0f0f0 colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif">病毒描述:</STRONG></TD></TR><TR><TD align=justify></TD><TD><!-- InstanceBeginEditable name="描述" -->  该脚本被运行后会从网络上下载其他木马程序,病在感染主机上运行。该脚本试图终止某些程序的进程。复制自身到 %system% 目录下。下载 四个病毒到 %system% 目录下。大量修改、新建注册表,加入数十个 iexplore.exe 到系统进程。修改 IE 首页地址。<!-- InstanceEndEditable --></TD></TR></TABLE><TABLE cellSpacing=0 cellPadding=0 width="100%" border=0><TR bgColor=#f0f0f0><TD colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif"></STRONG><STRONG>行为分析:</STRONG></TD></TR><TR><TD width="16%"></TD><TD width="84%"><!-- InstanceBeginEditable name="分析" --> 1 、该 VBS 病毒运行后会终止试图终止 outlook.exe 、 drweb.exe 的 进程2 、病毒运行后,会 从网络上下载四个木马 到感染主机运行。该病毒被下载到 %system% 下,病毒明分别为:<BLOCKQUOTE> dstart.exe 病毒名: Trojan.Win32.Dialer.gddstart1.exe 病毒名: Trojan-Proxy.Win32.Sobit.edstart2.exe 病毒名: Trojan.Win32.Dialer.htdstart3.exe 病毒名: Trojan.Downloader.Win32.Small.rd修改 %system% system.ini 文件。</BLOCKQUOTE> 3 、修改 IE 设置,首地址被修改为 https://bbs.sejie.com/4 、大量修改、新建注册表,举例如下:<BLOCKQUOTE> HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\xp_system键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe"HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer \RecentDocs\.htm\MRUList 键值 : 字串 : "a"HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer \FileExts\.htm\OpenWithList\a 键值 : 字串 : "iexplore.exe"HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Windows NT\CurrentVersion\Windows\run键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe"HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer \Main\Error Dlg Displayed On Every Error 键值 : 字串 : "no"HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions键值 : 字串 : "yes"HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Error Dlg Details Pane Open 键值 : 字串 : "no"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000\DeviceDesc键值 : 字串 : "Remote Access Connection Manager"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32\@键值 : 字串 : "C:\WINNT\inet10065\3.00.05.dll"</BLOCKQUOTE> 其中,在如下注册表位置,大量新键键值<BLOCKQUOTE> HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Keywords\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\BAP\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\RASMAN\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\RasMan\Enum\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\PerfProc\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Fax\Performance\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface \{FD1302BD-4080-11D1-A3AC-00C04FB950DC} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \ContentFilter\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip \Performance\WbemAdapFileTime HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Spooler\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \TapiSrv\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RasMan\Parameters\IpOutLowWatermark HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Performance\WbemAdapStatus </BLOCKQUOTE><P align=left><!-- InstanceEndEditable --></TD></TR></TABLE><HR SIZE=1><TABLE cellSpacing=0 cellPadding=0 width="100%" border=0><TR bgColor=#f0f0f0><TD colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif">清除方案:</STRONG></TD></TR><TR><TD width="16%"> </TD><TD width="84%"><!-- InstanceBeginEditable name="case" --><P align=left>1、使用安天木马防线2005+可彻底清除此病毒(推荐)。2、手工清除请按照行为分析删除对应文件,恢复相关系统设置 </TD></TR></TABLE>

qs 发表于 2006-11-17 22:36:56

我的瑞星和公司里的诺顿始终没有报过警,我把瑞星关了,电脑也没有受感染的迹象。据此判断,应该和windows的某个系统漏洞有关,下载微软的相关补丁后可以自然免疫。建议大家扫描自己的系统漏洞并安装相关补丁。
页: [1]
查看完整版本: [注意]似乎中了木马