vba32报鸽子

kkgh

程序:
C:\DOCUMENTS AND SETTINGS\ZH\桌面\1358.EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\QDQMOZTUVMZHS.DLL
是否删除木马程序及其衍生物?

库洛洛

The file '1358.exe' has been determined to be 'MALWARE'. Our analysts named the threat ADSPY/Ejik.X. The term "ADSPY/" denotes adware or spyware. This type of malware is able to change browser settings for example by manipulating registry settings or by using of NTFS-streams. Very often IEexploits are used to manipulate the browserhelp.dll.Detection is added to our virus definition file (VDF) starting with version 7.00.01.178.

lic

原來 Norman 7.0 修復了 Norman 5.9 時候 SandBox 報告不完整的 Bug 和 SandBox 技術更加厲害

===================================================================================================
NVCOD On Demand Scanner 5.80.02

NSE revision 5.91.08
nvcbin.def revision 5.90.00 of 2007/12/31 07:05:31 (1174618 variants)
nvcmacro.def revision 5.90.00 of 2007/12/21 16:51:24 (20421 variants)
Total number of variants: 1195039
Command line: "@C:\WINDOWS\TEMP\~OD1509.tmp"
===================================================================================================

       Time  Filename                                                     Virus name
---------------------------------------------------------------------------------------------------
- Scanning files in the directory: C:\Documents and Settings\Owner\桌面\1358\
     18360 ms C:\Documents and Settings\Owner\桌面\1358\1358.exe         

===================================================================================================

saga3721

这是鸽子啊？有出站吗？

saber123

金山2008没有报,AVG Anti-Spyware 7.5.1.43和A2也没有报....

a-squared 免费版本 3.1
上次更新: 2007-12-31 下午 07:35:37
扫描设置:
对象: C:\Documents and Settings\Administrator.FD1AD1DDA1A1451\桌面\1358.rar
扫描文件: 开
启发式扫描: 开
ADS 扫描: 开
扫描开始于: 2007-12-31 下午 10:31:00

已扫描
文件:  1
跟踪记录:  0
Cookies:  0
进程:  0
已发现
文件:  0
跟踪记录:  0
Cookies:  0
进程:  0
注册表键:  0
扫描结束于: 2007-12-31 下午 10:31:00
扫描用时: 0:00:00

gho

用咖啡规则阻止生成文件

saga3721

广告软件名称:AdWare.Win32.Ejik.fz

程序:
C:\DOCUMENTS AND SETTINGS\TX\桌面\1358.EXE
是广告软件!
已成功阻止其运行,是否要删除此文件?

hign

S版红伞杀了

sunqqq1987

释放个ini文件和一个1mb左右的dll到system32中,dll插入explorer.exe
联网没注意,防火墙的规则可能已经拦截
脱壳发现如下字符,估计是skype的升级之类东西



[ 本帖最后由 sunqqq1987 于 2008-1-1 10:55 编辑 ]

zwl2828

看起来不像病毒啊～

001ADEFC   005AEAFC      0   TOM-Skype
001ADF08   005AEB08      0   CSetPathDlg
001ADF14   005AEB14      0   C:\Program Files
001ADF2C   005AEB2C      0   SkypeClientMutex
001ADF40   005AEB40      0   \config.xml
001ADF4C   005AEB4C      0   %s\Skype\*.*
001ADF5C   005AEB5C      0   http://statistics.tom.com/scripts/Skype/sobar.exe
001ADF90   005AEB90      0   http://61.135.159.183/installer/sobar.exe
001ADFBC   005AEBBC      0   http://skype.tom.com/download/install/sobar.exe
001ADFEC   005AEBEC      0   \sobar.exe——广告？百度搜霸？
001ADFF8   005AEBF8      0   http://admincity.tom.com/skypetools/download/skype/20070522bk/SkypeSetup.exe
001AE048   005AEC48      0   http://skype.tom.com/download/Tom-SkypeSetup.exe
001AE07C   005AEC7C      0   http://download.skype.tom.com/Tom-SkypeSetup.exe
001AE0B0   005AECB0      0   \Tom-SkypeSetup.exe
001AE0C4   005AECC4      0   ~Temp
001AE0CC   005AECCC      0   "%s" /verysilent /nogoogle /dir="%s"
001AE0F4   005AECF4      0   regsvr32.exe /s %s
001AE108   005AED08      0   http://skypetools3.tom.com/download/promote/promote.dll
001AE140   005AED40      0   \promote.dll
001AE150   005AED50      0   CSkypeInstallWizard
001AE164   005AED64      0   CTrayIcon
001AE170   005AED70      0   Arial
001AE184   005AED84      0   http://alliance.skype.tom.com/SkypeInstallerCharge.php
001AE1BC   005AEDBC      0   &op=2&skypeid=%s&mac=%s&hddsn=%s&cpuid=%s&
001AE1E8   005AEDE8      0   Microsoft Internet Explorer
001AE208   005AEE08      0   ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
001AE254   005AEE54      0   \\.\Smartvsd
001AE264   005AEE64      0   \\.\PhysicalDrive%d
001AE280   005AEE80      0   %s?r=%s
001AE288   005AEE88      0   http://alliance.skype.tom.com/SkypeInstallerReport.php