千千静听官网下载频道被挂马了？

显示全部楼层 · 发表于 2007-10-13 00:11:16

千千静听官网下载频道被挂马了？

一进去就EQ频繁提示这些：
2007-10-13 00:02:29 修改文件    操作:阻止
进程路径:C:\Program Files\Maxthon2\Maxthon.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts
触发规则:所有程序规则->系统文件->%WinDir%\system32\drivers\etc\hosts

2007-10-13 00:02:33 修改文件    操作:阻止
进程路径:C:\Program Files\Maxthon2\Maxthon.exe
文件路径:C:\WINDOWS\system32\drivers\tcpip.sys
触发规则:所有程序规则->系统文件->%WinDir%\system32\drivers\*.sys

2007-10-13 00:02:35 修改文件    操作:阻止
进程路径:C:\Program Files\Maxthon2\Maxthon.exe
文件路径:C:\WINDOWS\system32\drivers\tcpip.sys
触发规则:所有程序规则->系统文件->%WinDir%\system32\drivers\*.sys

2007-10-13 00:02:40 修改文件    操作:阻止
进程路径:C:\Program Files\Maxthon2\Maxthon.exe
文件路径:C:\WINDOWS\system32\drivers\tcpip.sys
触发规则:所有程序规则->系统文件->%WinDir%\system32\drivers\*.sys

2007-10-13 00:02:43 修改文件    操作:阻止
进程路径:C:\Program Files\Maxthon2\Maxthon.exe
文件路径:C:\WINDOWS\system32\drivers\tcpip.sys
触发规则:所有程序规则->系统文件->%WinDir%\system32\drivers\*.sys

最后费尔也爆了，待高手鉴定。。。

显示全部楼层 · 发表于 2007-10-13 00:24:37

http://down.18dd.net/bb/014.exe

显示全部楼层 · 发表于 2007-10-13 00:28:43

广告惹的祸
http://ttads.ttplayer.com/chtml/www.ttplayer.com.bottom.htm

4个，但全都是同一个毒：
http://down.18dd.net/bb/bf.exe
http://down.18dd.net/bb/bd.cab
http://down.18dd.net/bb/pps.exe
http://down.18dd.net/bb/014.exe

显示全部楼层 · 发表于 2007-10-13 10:57:32

又被挂了

显示全部楼层 · 发表于 2007-10-13 11:30:09

显示全部楼层 · 发表于 2007-10-13 11:32:15

下載了20隻

显示全部楼层 · 发表于 2007-10-13 11:33:42

下載了20隻

显示全部楼层 · 发表于 2007-10-13 11:33:42

UGuard Log (Digital Fox - gankeyu@126.com)
UGuarduu.exe = 4.3.2
HC0.rlb = 2.9.1
HC2.rlb = 2.4.0
FN0.rlb = 2.3.1
扫描选项：扫描档案, 扩展, 忽略非活动, 忽略大文件, nFile, BAT模拟, 捆绑检测, 变形壳, 启发,
[扫描] [Level 2] 在 C:\Documents and Settings\Administrator\桌面\样本\014.exe 检测到 Win32.Autorun.U
任务扫描完成。共耗费的时间：0-00-00 00:00:00:0020，共扫描的文件数量：1，共扫描到的威胁数量：1，威胁率：100%，扫描速率： 50 文件/秒，扫描速度： 1850 千字节/秒，共扫描了 37 千字节。

显示全部楼层 · 发表于 2007-10-13 11:35:55

衍生物：UGuard全灭

UGuard Log (Digital Fox - gankeyu@126.com)
UGuarduu.exe = 4.3.2
HC0.rlb = 2.9.1
HC2.rlb = 2.4.0
FN0.rlb = 2.3.1
扫描选项：扫描档案, 扩展, 忽略非活动, 忽略大文件, nFile, BAT模拟, 捆绑检测, 变形壳, 启发,
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\0.exe 检测到 Packed.Generic.UPack
[扫描] [Level 1] 在 C:\Documents and Settings\Administrator\桌面\样本\1.exe//Crypt3 检测到 Generic.Virus
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\10.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\11.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\12.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\13.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\14.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\15.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\16.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\17.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\18.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\19.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\2.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\3.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\4.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\5.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\6.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\7.exe 检测到 Packed.Generic.Modified
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\8.exe 检测到 Packed.Generic.UPack
[扫描] [变形壳检测] 在 C:\Documents and Settings\Administrator\桌面\样本\9.exe 检测到 Packed.Generic.UPack
检测到了 20 个未知的恶意程序，请上报。
任务扫描完成。共耗费的时间：0-00-00 00:00:00:0120，共扫描的文件数量：21，共扫描到的威胁数量：20，威胁率：95.24%，扫描速率： 175 文件/秒，扫描速度： 2996.96 千字节/秒，共扫描了 359.63 千字节。

[ 本帖最后由 gankeyu 于 2007-10-13 11:51 编辑 ]

显示全部楼层 · 发表于 2007-10-13 11:48:51

Begin scan in 'C:\Documents and Settings\Administrator\桌面\down.rar'
C:\Documents and Settings\Administrator\桌面\down.rar
  [0] Archive type: RAR
  --> 5.exe
   [DETECTION] Is the Trojan horse TR/Agent.14463
  --> 6.exe
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
  --> 7.exe
   [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> 8.exe
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
  --> 9.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.dzp.2
  --> 10.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.dzp.1
  --> 11.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.ejx.2
  --> 12.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.dzq
  --> 13.exe
   [DETECTION] Contains suspicious code HEUR/Malware
  --> 14.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.eoa
  --> 15.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.eqr
  --> 16.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.dzs.2
  --> 17.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.eax.2
  --> 18.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.eav
  --> 19.exe
   [DETECTION] Is the Trojan horse TR/Agent.13927
  --> 0.exe
   [DETECTION] Contains suspicious code HEUR/Malware
  --> 1.exe
   [DETECTION] Is the Trojan horse TR/PSW.Online.agb.2
  --> 2.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.epn
  --> 3.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.eqt.1
  --> 4.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.dzs

End of the scan: 2007年10月13日  11:48
Used time: 00:03 min

The scan has been done completely.

   0 Scanning directories
   22 Files were scanned
   18 viruses and/or unwanted programs were found
   2 Files were classified as suspicious:

[已鉴定] 千千静听官网下载频道被挂马了？