木马1X

显示全部楼层 · 发表于 2011-7-22 13:28:58

jyc19970330 发表于 2011-7-22 12:58
只能用U蛋下载？？

我也奇怪啊！！怎马回事？115抽了？

显示全部楼层 · 发表于 2011-7-22 14:04:14

我也不知道什么回事，115干啥

显示全部楼层 · 发表于 2011-7-22 16:46:49

Kaspersky 9.0.0.837 2011.07.22 Trojan.WinREG.StartPage.dm

Setup=tlib.bat /VERYSILENT /SP- /NORESTART
TempMode
Silent=1
Overwrite=1
Update=U

@echo off
regedit /s tlib.reg

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\command]
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE www.babaw.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.babaw.com/"
"Default_Page_URL"="http://www.babaw.com/"
[HKEY_CLASSES_ROOT\http\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE www.babaw.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{2153705A-F2F9-4220-83D8-EC1CEB581D21}"
"Version"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2153705A-F2F9-4220-83D8-EC1CEB581D21}]
"DisplayName"="百度搜索"
"URL"="http://www.baidu.com/s?tn=ax5008_dg&wd={searchTerms}&ie=utf-8"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{12C12F0D-3E90-4638-9F19-803214C2AE8C}]
"DisplayName"="淘宝搜索"
"URL"="http://search8.taobao.com/browse/search_auction.htm?q={searchTerms}&pid=mm_10032507_1300675_9134691&ie=utf-8"

显示全部楼层 · 发表于 2011-7-24 17:42:46

神奇的IDP拦截了

显示全部楼层 · 发表于 2011-7-24 17:44:46

To ESET.

http://samples.nod32.com.hk/inde ... 439883e346a3e7fbb83

显示全部楼层 · 发表于 2011-7-24 19:29:13

hx1997 发表于 2011-7-24 17:44
To ESET.

http://samples.nod32.com.hk/index.php?a=query&lang=2&md5=2318aebd2f8a4439883e346a3e7fbb8 ...

2011/7/24 19:28:31 加载动态链接库允许
进程: d:\下载\setup\setup.exe
目标: c:\windows\apppatch\acgenral.dll
规则: [应用程序]* -> [动态链接库]*\acgenral.dll

2011/7/24 19:28:37 修改注册表值阻止并结束进程
进程: c:\windows\regedit.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
值: C:\Program Files\Internet Explorer\IEXPLORE.EXE www.babaw.com
规则: [注册表组]r010_行为防御 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\shell\OpenHomePage\Command

显示全部楼层 · 发表于 2011-7-24 20:27:29

2011-7-24 20:26:48 加载动态链接库允许
进程: c:\documents and settings\administrator\桌面\setup.exe
目标: c:\windows\apppatch\acgenral.dll
规则: [应用程序]* -> [动态链接库]*\acgenral.dll

2011-7-24 20:26:51 加载动态链接库允许
进程: c:\windows\regedit.exe
目标: c:\windows\apppatch\acgenral.dll
规则: [应用程序]* -> [动态链接库]*\acgenral.dll

2011-7-24 20:26:54 修改注册表值阻止并结束进程
进程: c:\windows\regedit.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
值: C:\Program Files\Internet Explorer\IEXPLORE.EXE www.babaw.com
规则: [注册表组]r010_行为防御 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\shell\OpenHomePage\Command

显示全部楼层 · 发表于 2011-7-24 21:17:15

MSE avast miss

显示全部楼层 · 发表于 2011-7-24 21:59:42

avg miss ，idp未测试。上报。

显示全部楼层 · 发表于 2011-7-24 22:06:35

本帖最后由一晴空于 2011-7-24 22:07 编辑

拒绝访问
无法打开网页

尝试获取网址：

http://119.147.99.37/down_group127/M00/
00/06/d5NjJU4o_ZIAAAAAAAC7VxTDA_Q6510708/
setup.7z?k=jLrAazH8qM9WSOkd8fXMEg&t=
1311530735&u=14.109.236.236@0@dn64h08f&
file=setup.7z

发生以下错误：

对象感染以下病毒： Trojan.WinREG.StartPage.dm
修改主页不解释了

[病毒样本] 木马1X