[MD5:42a88c]+[MD5:62a4c6]

jpzy

昨天一个朋友上网，不小心进了一个网站，结果今天他的本本开机很慢，而且一开机卡巴就提示iexplorer可执行文件已被修改，是否允许连接网络！点拒绝，然后查看电脑情况，发现在开始菜单的启动文件夹里面有两个东东，是hta文件，一看名字就有问题，我压缩在my documents.rar里面了！卡巴621扫描不报，微点报木马！
搞定了这个，然后问他昨天上那个网站卡巴有没有提示，他说所有的提示都选择了拒绝，用icesword初步检查了进程，没有发现问题，但是在system32里面发现了几个文件，创建时间是06-12-22日，没有描述，其中的可执行文件smService.exe解压微点就报Trojan.Delf，我把这几个文件全都抓出来了，压缩在system32里面，大家分析一下看看是什么东西！

PS：他的本子上是KIS6.0.2.621，目前没有发现太多问题，只是启动变慢了一些，不知道是不是还有可疑的dll或者sys文件被加载了！这些东东，卡巴扫描不报！有点失望~~~~~，不过还好，似乎除了启动文件夹下面被加载了两个东东以外，系统问题不大，只要正确的使用卡巴，还是可以防住的！！


这是运行其中一个hta文件报出来的！


这是smService的报警信息！

[ 本帖最后由 jpzy 于 2007-6-25 17:00 编辑 ]

wangjay1980

deleted: Trojan program Trojan-Downloader.HTA.Agent.m        File: C:\Documents and Settings\Owner\×ÀÃæ\My Documents.rar/Server.hta
deleted: Trojan program Trojan-Downloader.HTA.Agent.m        File: C:\Documents and Settings\Owner\×ÀÃæ\My Documents.rar/Windows.hta

欠妳緈諨

AVAST飘过

1688388728

病毒: Trojan-Downloader.HTA.Agent.m
檔案: Server.hta
目錄: E:\病毒库\My_Documents
處理序: WinRAR.exe
病毒: Trojan-Downloader.HTA.Agent.m
檔案: Windows.hta
目錄: E:\病毒库\My_Documents

mofunzone

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\system32.rar'
C:\Documents and Settings\Administrator\My Documents\
  system32.rar
    [0] Archive type: RAR
    --> nscompat.tlb
    --> amcompat.tlb
    --> PerfStringBackup.ini
    --> oxnmhfrh.dll
    --> $winnt$.inf
    --> smService.exe
        [DETECTION] Contains signature of the Ad- or Spyware ADSPY/SearchHook.B
        [WARNING]   Infected files in archives cannot be repaired!
    --> CONFIG.nt
    --> emptyregdb.dat
        [WARNING]   The file was ignored!
Begin scan in 'C:\Documents and Settings\Administrator\My Documents\My.rar'
C:\Documents and Settings\Administrator\My Documents\
  My.rar
    [0] Archive type: RAR
    --> smService.exe
        [DETECTION] Contains signature of the Ad- or Spyware ADSPY/SearchHook.B
        [WARNING]   Infected files in archives cannot be repaired!
    --> Server.hta
    --> Windows.hta
        [WARNING]   The file was ignored!


End of the scan: 2007年6月25日  02:11
Used time: 00:07 min

The scan has been done completely.

      0 Scanning directories
     13 Files were scanned
      2 viruses and/or unwanted programs were found
      0 classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
     11 Files not concerned
      2 Archives were scanned
      4 Warnings
      0 Notes
      0 Hidden objects were found

jpzy

对了，忘了说一句，这个smService.exe我在中毒机器上双击直接运行过，卡巴斯基没有任何报警，不过这个exe运行了一下就自动消失了，我也不知道它做了什么！不知道是不是它单独能活着！！

蓝色牛仔裤

这个单独运行没动作，运行后添加了一个进程，之后便自动退出了。。

wangjay1980

没什么
只是会在这里创建个自己的键值
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache 值名[C:\Documents and Settings\Owner\桌面\smService.exe]

jpzy

原帖由 蓝色牛仔裤 于 2007-6-25 17:24 发表
这个单独运行没动作，运行后添加了一个进程，之后便自动退出了。。

添加了什么进程？为什么卡巴斯基的主动防御没有提示？

wangjay1980

他没有任何危险动作，卡巴当然不会提示
Hello,

$winnt$.inf,
amcompat.tlb,
CONFIG.NT,
emptyregdb.dat,
nscompat.tlb,
oxnmhfrh.dll,
PerfStringBackup.INI,
smService.exe_

No malicious code were found in these files.

iAlmcoin.dll

This file has 0 bytes length.

Please quote all when answering.

--
Best regards, Dmitry Shvetsov
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.



> Attachment: system32.zip