翔鹰帝国网|帝国时代论坛|帝国时代系列|神话时代
 找回密码
 注册翔鹰会员(昵称)
搜索
查看: 2568|回复: 10

[注意]似乎中了木马

[复制链接]

14

主题

0

精华

78

积分

骑士

耕战
0
鹰币
109
天龙币
0
回帖
153
附庸关系0
发表于 2006-11-14 20:38:04 | 显示全部楼层 |阅读模式
打开论坛任一页面,遨游状态栏显示链接向h t t p //w w w. zzyqr .com/……,随后杀毒软件就开始报发现病毒。其他网站没有这个问题。
回复

使用道具 举报

692

主题

16

精华

3万

积分

教皇

耕战
4052
鹰币
8172
天龙币
0
回帖
8751

一级皇家勋章智将勋章翔鹰建站十周年纪念章一级翔鹰勋章特级嘉禾勋章特级帝国勋章第一届火箭筒杯最佳剧情第一届火箭筒杯最佳创意第二届战鹰杯单人赛亚军鹰之王者

附庸关系1
发表于 2006-11-15 11:34:59 | 显示全部楼层
我家里的瑞星和公司里的诺顿都没有报警,会不会和遨游有关系?  还有谁的电脑在上论坛时报警?
回复

使用道具 举报

180

主题

1

精华

1万

积分

圣徒

耕战
3591
鹰币
191
天龙币
0
回帖
2148

一级翔鹰勋章三级帝国勋章

附庸关系0
发表于 2006-11-17 18:12:47 | 显示全部楼层
瑞星无反应,似乎没影响
回复

使用道具 举报

313

主题

19

精华

3万

积分

圣徒

耕战
4847
鹰币
80
天龙币
0
回帖
6213

特级翔鹰勋章一级嘉禾勋章一级帝国勋章第一届火箭筒杯最佳战役第一届火箭筒杯最佳平衡第一届火箭筒杯最佳娱乐雄鹰勋章

附庸关系0
发表于 2006-11-16 21:59:25 | 显示全部楼层
检测到了,VirusScan自动检测的,据我堂哥说这个软件有世界最全的病毒库。  是特洛伊喔
天行健,君子以自强不息   
    地势坤,君子以厚德载物
回复

使用道具 举报

295

主题

6

精华

1万

积分

圣徒

耕战
2467
鹰币
1
天龙币
0
回帖
7091

一级翔鹰勋章二级嘉禾勋章特级帝国勋章第一届火箭筒杯最佳地图雄鹰勋章

附庸关系0
发表于 2006-11-16 22:54:16 | 显示全部楼层
江民无反应,病毒库2006-11-11更新的...
天使归来的博客 大家捧场噢
回复

使用道具 举报

295

主题

6

精华

1万

积分

圣徒

耕战
2467
鹰币
1
天龙币
0
回帖
7091

一级翔鹰勋章二级嘉禾勋章特级帝国勋章第一届火箭筒杯最佳地图雄鹰勋章

附庸关系0
发表于 2006-11-16 23:09:15 | 显示全部楼层
有此现象....准备杀毒
天使归来的博客 大家捧场噢
回复

使用道具 举报

91

主题

5

精华

1万

积分

教皇

耕战
1565
鹰币
41
天龙币
0
回帖
476

一级翔鹰勋章特级嘉禾勋章特级帝国勋章鹰之王者

附庸关系0
发表于 2006-11-17 12:21:23 | 显示全部楼层
已经清除
回复

使用道具 举报

692

主题

16

精华

3万

积分

教皇

耕战
4052
鹰币
8172
天龙币
0
回帖
8751

一级皇家勋章智将勋章翔鹰建站十周年纪念章一级翔鹰勋章特级嘉禾勋章特级帝国勋章第一届火箭筒杯最佳剧情第一届火箭筒杯最佳创意第二届战鹰杯单人赛亚军鹰之王者

附庸关系1
发表于 2006-11-17 09:44:29 | 显示全部楼层
有劳阿木兄了。
回复

使用道具 举报

313

主题

19

精华

3万

积分

圣徒

耕战
4847
鹰币
80
天龙币
0
回帖
6213

特级翔鹰勋章一级嘉禾勋章一级帝国勋章第一届火箭筒杯最佳战役第一届火箭筒杯最佳平衡第一届火箭筒杯最佳娱乐雄鹰勋章

附庸关系0
发表于 2006-11-17 21:56:44 | 显示全部楼层
奇怪了,还是检测到病毒,不过原来是一下子几十个文件,现在只是删除两个文件,阻拦一个进程了.  检测结果是什么"VBS/Psyme",不知道什么意思,是病毒名么?
天行健,君子以自强不息   
    地势坤,君子以厚德载物
回复

使用道具 举报

692

主题

16

精华

3万

积分

教皇

耕战
4052
鹰币
8172
天龙币
0
回帖
8751

一级皇家勋章智将勋章翔鹰建站十周年纪念章一级翔鹰勋章特级嘉禾勋章特级帝国勋章第一届火箭筒杯最佳剧情第一届火箭筒杯最佳创意第二届战鹰杯单人赛亚军鹰之王者

附庸关系1
发表于 2006-11-17 22:34:31 | 显示全部楼层
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0><TR bgColor=#f0f0f0><TD colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif"></STRONG><STRONG>病毒标签:</STRONG></TD></TR><TR><TD align=left width="16%"></TD><TD 4px" width="84%"><!-- InstanceBeginEditable name="标签" --><P align=left>病毒名称: Trojan-Downloader.VBS.Psyme.ap  病毒类型: 木马  危害等级: 中  文件长度: 3,143 字节 感染系统: windows 9x 以上版本 开发工具: Visual Basic Script <!-- InstanceEndEditable --></TD></TR><TR><TD align=left bgColor=#f0f0f0 colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif">病毒描述:</STRONG></TD></TR><TR><TD align=justify></TD><TD><!-- InstanceBeginEditable name="描述" -->  该脚本被运行后会从网络上下载其他木马程序,病在感染主机上运行。该脚本试图终止某些程序的进程。复制自身到 %system% 目录下。下载 四个病毒到 %system% 目录下。大量修改、新建注册表,加入数十个 iexplore.exe 到系统进程。修改 IE 首页地址。<!-- InstanceEndEditable --></TD></TR></TABLE><TABLE cellSpacing=0 cellPadding=0 width="100%" border=0><TR bgColor=#f0f0f0><TD colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif"></STRONG><STRONG>行为分析:</STRONG></TD></TR><TR><TD width="16%"></TD><TD width="84%"><!-- InstanceBeginEditable name="分析" --> 1 、该 VBS 病毒运行后会终止试图终止 outlook.exe 、 drweb.exe 的 进程  2 、病毒运行后,会 从网络上下载四个木马 到感染主机运行。该病毒被下载到 %system% 下,病毒明分别为:  <BLOCKQUOTE> dstart.exe 病毒名: Trojan.Win32.Dialer.gd  dstart1.exe 病毒名: Trojan-Proxy.Win32.Sobit.e  dstart2.exe 病毒名: Trojan.Win32.Dialer.ht  dstart3.exe 病毒名: Trojan.Downloader.Win32.Small.rd  修改 %system% system.ini 文件。  </BLOCKQUOTE> 3 、修改 IE 设置,首地址被修改为 https://bbs.sejie.com/  4 、大量修改、新建注册表,举例如下:  <BLOCKQUOTE> HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\xp_system  键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer \RecentDocs\.htm\MRUList 键值 : 字串 : "a"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer \FileExts\.htm\OpenWithList\a 键值 : 字串 : "iexplore.exe"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Windows NT\CurrentVersion\Windows\run  键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer \Main\Error Dlg Displayed On Every Error 键值 : 字串 : "no"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions  键值 : 字串 : "yes"  HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Error Dlg Details Pane Open 键值 : 字串 : "no"  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000\DeviceDesc  键值 : 字串 : "Remote Access Connection Manager"  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32\@  键值 : 字串 : "C:\WINNT\inet10065\3.00.05.dll"  </BLOCKQUOTE> 其中,在如下注册表位置,大量新键键值  <BLOCKQUOTE> HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Keywords\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\BAP\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\RASMAN\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\RasMan\Enum\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\PerfProc\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Fax\Performance\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface \{FD1302BD-4080-11D1-A3AC-00C04FB950DC} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \ContentFilter\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip \Performance\WbemAdapFileTime HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Spooler\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \TapiSrv\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RasMan\Parameters\IpOutLowWatermark HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Performance\WbemAdapStatus </BLOCKQUOTE><P align=left>  <!-- InstanceEndEditable --></TD></TR></TABLE><HR SIZE=1><TABLE cellSpacing=0 cellPadding=0 width="100%" border=0><TR bgColor=#f0f0f0><TD colSpan=2><STRONG><img src="https://www.antiy.com/img/toc_bullet_off.gif">清除方案:</STRONG></TD></TR><TR><TD width="16%"> </TD><TD width="84%"><!-- InstanceBeginEditable name="case" --><P align=left>1、使用安天木马防线2005+可彻底清除此病毒(推荐)。  2、手工清除请按照行为分析删除对应文件,恢复相关系统设置 </TD></TR></TABLE>
回复

使用道具 举报

692

主题

16

精华

3万

积分

教皇

耕战
4052
鹰币
8172
天龙币
0
回帖
8751

一级皇家勋章智将勋章翔鹰建站十周年纪念章一级翔鹰勋章特级嘉禾勋章特级帝国勋章第一届火箭筒杯最佳剧情第一届火箭筒杯最佳创意第二届战鹰杯单人赛亚军鹰之王者

附庸关系1
发表于 2006-11-17 22:36:56 | 显示全部楼层
我的瑞星和公司里的诺顿始终没有报过警,我把瑞星关了,电脑也没有受感染的迹象。据此判断,应该和windows的某个系统漏洞有关,下载微软的相关补丁后可以自然免疫。建议大家扫描自己的系统漏洞并安装相关补丁。
回复

使用道具 举报

本版积分规则

排行榜|小黑屋|翔鹰帝国

GMT+8, 2024-12-24 02:15 , Processed in 0.143365 second(s), 126 queries , File On.

Powered by Hawk Studio  QS Security Corp.® Licensed

Copyright © 2001-2023, Hawkaoe.net All Rights Reserved

快速回复 返回顶部 返回列表