[注意]似乎中了木马

sunburner

打开论坛任一页面，遨游状态栏显示链接向h t t p //w w w. zzyqr .com/……，随后杀毒软件就开始报发现病毒。其他网站没有这个问题。

qs

我家里的瑞星和公司里的诺顿都没有报警，会不会和遨游有关系？  还有谁的电脑在上论坛时报警？

zwz10101

瑞星无反应，似乎没影响

_CCC_大智

检测到了，VirusScan自动检测的，据我堂哥说这个软件有世界最全的病毒库。  是特洛伊喔

天使归来

江民无反应,病毒库2006-11-11更新的...

天使归来

有此现象....准备杀毒

阿木

已经清除

qs

有劳阿木兄了。

_CCC_大智

奇怪了,还是检测到病毒,不过原来是一下子几十个文件,现在只是删除两个文件,阻拦一个进程了.  检测结果是什么"VBS/Psyme",不知道什么意思,是病毒名么?

qs

<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0><TR bgColor=#f0f0f0><TD colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif"></STRONG><STRONG>病毒标签：</STRONG></TD></TR><TR><TD align=left width="16%"></TD><TD 4px" width="84%"><!-- InstanceBeginEditable name="标签" --><P align=left>病毒名称： Trojan-Downloader.VBS.Psyme.ap  病毒类型： 木马  危害等级： 中  文件长度： 3,143 字节 感染系统： windows 9x 以上版本 开发工具： Visual Basic Script <!-- InstanceEndEditable --></TD></TR><TR><TD align=left bgColor=#f0f0f0 colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif">病毒描述：</STRONG></TD></TR><TR><TD align=justify></TD><TD><!-- InstanceBeginEditable name="描述" -->　　该脚本被运行后会从网络上下载其他木马程序，病在感染主机上运行。该脚本试图终止某些程序的进程。复制自身到 %system% 目录下。下载 四个病毒到 %system% 目录下。大量修改、新建注册表，加入数十个 iexplore.exe 到系统进程。修改 IE 首页地址。<!-- InstanceEndEditable --></TD></TR></TABLE><TABLE cellSpacing=0 cellPadding=0 width="100%" border=0><TR bgColor=#f0f0f0><TD colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif"></STRONG><STRONG>行为分析：</STRONG></TD></TR><TR><TD width="16%"></TD><TD width="84%"><!-- InstanceBeginEditable name="分析" --> 1 、该 VBS 病毒运行后会终止试图终止 outlook.exe 、 drweb.exe 的 进程  2 、病毒运行后，会 从网络上下载四个木马 到感染主机运行。该病毒被下载到 %system% 下，病毒明分别为：  <BLOCKQUOTE> dstart.exe 病毒名： Trojan.Win32.Dialer.gd  dstart1.exe 病毒名： Trojan-Proxy.Win32.Sobit.e  dstart2.exe 病毒名： Trojan.Win32.Dialer.ht  dstart3.exe 病毒名： Trojan.Downloader.Win32.Small.rd  修改 %system% system.ini 文件。  </BLOCKQUOTE> 3 、修改 IE 设置，首地址被修改为 https://bbs.sejie.com/  4 、大量修改、新建注册表，举例如下：  <BLOCKQUOTE> HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\xp_system  键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer \RecentDocs\.htm\MRUList 键值 : 字串 : "a"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer \FileExts\.htm\OpenWithList\a 键值 : 字串 : "iexplore.exe"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Windows NT\CurrentVersion\Windows\run  键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer \Main\Error Dlg Displayed On Every Error 键值 : 字串 : "no"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions  键值 : 字串 : "yes"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Error Dlg Details Pane Open 键值 : 字串 : "no"  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000\DeviceDesc  键值 : 字串 : "Remote Access Connection Manager"  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32\@  键值 : 字串 : "C:\WINNT\inet10065\3.00.05.dll"  </BLOCKQUOTE> 其中，在如下注册表位置，大量新键键值  <BLOCKQUOTE> HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Keywords\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\BAP\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\RASMAN\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\RasMan\Enum\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\PerfProc\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Fax\Performance\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface \{FD1302BD-4080-11D1-A3AC-00C04FB950DC} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \ContentFilter\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip \Performance\WbemAdapFileTime HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Spooler\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \TapiSrv\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RasMan\Parameters\IpOutLowWatermark HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Performance\WbemAdapStatus </BLOCKQUOTE><P align=left>  <!-- InstanceEndEditable --></TD></TR></TABLE><HR SIZE=1><TABLE cellSpacing=0 cellPadding=0 width="100%" border=0><TR bgColor=#f0f0f0><TD colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif">清除方案：</STRONG></TD></TR><TR><TD width="16%"> </TD><TD width="84%"><!-- InstanceBeginEditable name="case" --><P align=left>1、使用安天木马防线2005+可彻底清除此病毒(推荐)。  2、手工清除请按照行为分析删除对应文件，恢复相关系统设置 </TD></TR></TABLE>

qs

我的瑞星和公司里的诺顿始终没有报过警，我把瑞星关了，电脑也没有受感染的迹象。据此判断，应该和windows的某个系统漏洞有关，下载微软的相关补丁后可以自然免疫。建议大家扫描自己的系统漏洞并安装相关补丁。