haol23首页劫持病毒样本，大多数杀软找不到，或无法清除

663219623

安铁诺杀死  嘿嘿

gamies

原帖由 风野胤 于 2007-7-13 10:13 发表
怎么可能有解压自动运行的
又不是exe伪装rar
运行了 就生成了几个dll
我的IE7的主页还是好好的

       IE7没试过，IE6，傲游，火狐都不能幸免，打开几个大形网站的地址就自动跳转到一个叫H[url=http://www.haol23]ttp://www.haol23.com/?38//[/url]（中间123的1是小写的L）的网站，里面提示下载的微软补丁就是这个东东。实在搞不懂，他居然能感染FIREFOX。。。。。。
       360能查出但无法修复，卡卡和优化大师都没用，手动清除所有有关注册表项也不行。另外生成物应该是两个随机6位字母的.SYS驱动文件和相应的.DLL。我就是干掉了这几个东西才处理掉的，莫非这个还不是本体？

[ 本帖最后由 gamies 于 2007-7-13 17:57 编辑 ]

hj5abc

的确只释放了2个DLL..一个在IME文件夹中.没什么了呀.
ps.还是Op比较好.

yyg747

2007-7-13 18:34:45        文件 C:\Documents and Settings\yangyg\桌面\haol23首页劫持样本\haol23首页劫持样本\KB890923-x86-CHS.exe//UPX: 检测到 木马程序 'Backdoor.Win32.Agent.kc'. 用户: THSS-01225\yangyg, 电脑:localhost。

promised

复制大法
C:\ABC\KB890923-x86-CHS.zip:\KB890923-x86-CHS.exek - 特征码 'Backdoor.Win32.Agent.kc' 被发现
C:\ABC\KB890923-x86-CHS.zip

woai_jolin

===================================================================================================
NVCOD On Demand Scanner 5.80.02

NSE revision 5.90.37
nvcbin.def revision 5.90.00 of 2007/05/24 17:29:41 (794383 variants)
nvcmacro.def revision 5.90.00 of 2007/05/24 17:15:53 (20339 variants)
Total number of variants: 814722
Command line: "@C:\Users\Jason\AppData\Local\Temp\~ODF03F.tmp"
===================================================================================================

       Time  Filename                                                     Virus name
---------------------------------------------------------------------------------------------------
- Scanning files matching: D:\virus\haol23首页劫持样本.rar
        0 ms D:\virus\haol23首页劫持样本.rar                             
        0 ms D:\virus\haol23首页劫持样本.rar:Zone.Identifier            

===================================================================================================

The scanning started: 2007/07/13 19:29:19
               ended: 2007/07/13 19:29:19
Logged on as        : Jason
on hostname         : JASON-PC

Scanning results:
   Total number of files found..............................:       2
   Number of files scanned..................................:       2
   Number of files/directories skipped due to exclude list..:       0
   Number of files that could not be opened.................:       0
   Number of archive files unpacked.........................:       0
   Number of archive files not unpacked.....................:       0
   Number of infections.....................................:       0

Copyright (c) 1993-2005 Norman ASA.

gamies

哈，那应该不是病毒本体了，改天想办法把那两个驱动和.dll弄回来给大家爽爽~