有微点，影子，不怕死的来(去密码）

显示全部楼层 · 发表于 2008-1-11 23:20:00

留名但是没密码

显示全部楼层 · 发表于 2008-1-11 23:21:47

你重启一下，看正不正常。

显示全部楼层 · 发表于 2008-1-12 00:13:40

原帖由自由于 2008-1-11 23:21 发表
你重启一下，看正不正常。

刚才重新启动了一下机器，正常！

我的上海政府版XP，装上微点好用！

最开始装微点时，是个使用了约一年的东海版XP，装的shadowuser影子系统，不太好使，莫名其妙的事好多，后来换上海政府版XP，一年多，安静极了！除非经常试毒......

去年初批处理过大年，今年初磁碟机想过大年？

[ 本帖最后由野马于 2008-1-12 00:15 编辑 ]

显示全部楼层 · 发表于 2008-1-12 00:23:30

08年第一个大毒

显示全部楼层 · 发表于 2008-1-12 04:00:50

在旁看热闹。。已经到了不想折腾的年龄了

显示全部楼层 · 发表于 2008-1-12 07:46:16

2008-01-12 07:43:26 執行應用程序操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\kugooexe.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*

2008-01-12 07:43:32 建立檔案操作:允許
程序路徑:D:\kugooexe.exe
檔案路徑:C:\Documents and Settings\All Users\Application Data\Intel\Wireless\WLANProfiles\WLANPro.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2008-01-12 07:43:40 執行應用程序    操作:允許
程序路徑:D:\kugooexe.exe
檔案路徑:C:\Documents and Settings\All Users\Application Data\Intel\Wireless\WLANProfiles\WLANPro.exe
觸發規則:所有程序規則->*

2008-01-12 07:43:46 監控系統除錯模式    操作:封鎖
程序路徑:C:\Documents and Settings\All Users\Application Data\Intel\Wireless\WLANProfiles\WLANPro.exe

觸發規則:所有程序規則->*

2008-01-12 07:43:48 建立檔案    操作:允許
程序路徑:C:\Documents and Settings\All Users\Application Data\Intel\Wireless\WLANProfiles\WLANPro.exe
檔案路徑:C:\Documents and Settings\All Users\Application Data\Intel\Wireless\WLANProfiles\TDAtOnce_Now.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll

2008-01-12 07:43:54 建立登錄檔值    操作:封鎖
程序路徑:C:\Documents and Settings\All Users\Application Data\Intel\Wireless\WLANProfiles\WLANPro.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{42490C4D-0F58-4FB7-955F-9F33330052EF}
登錄檔名稱:[Key]
觸發規則:所有程序規則->檔案總管_普通模式->*\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper objects*

显示全部楼层 · 发表于 2008-1-12 12:39:59

过小红伞、NOD32。加的ASPack v2.12的壳。

kugooexe.exe的字符串如下（节选）：

000122B8 00412CB8    0 c:\windows
00012388 00412D88    0 Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
000123D4 00412DD4    0 \Intel\Wireless\WLANProfiles\
000125AC 00412FAC    0 Common AppData
000125C4 00412FC4    0 WLANPro.exe
000125E4 00412FE4    0 yxieexe

0008B0AC 004916AC    0 Connection: Keep-Alive
0008B33C 0049193C    0 SOFTWARE\xunlei\kgooexe
0008B404 00491A04    0 SOFTWARE\xunlei\kgooexe
0008B5B4 00491BB4    0 http://www.love550.com/as/ss/kgooexe.sj
0008B5E4 00491BE4    0 http://www.youshaoye.com/y5k/yxie/kgooexe/suju.sj
0008B620 00491C20    0 avp.exe
0008B628 00491C28    0 Common AppData
0008B640 00491C40    0 TDAtOnce_Now.dll
0008B6C0 00491CC0    0 DllRegisterServer
0008B8CC 00491ECC    0 Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
0008B918 00491F18    0 \Intel\Wireless\WLANProfiles\

0008C138 00492738    0 http://www.youshaoye.com/y5k/yxie/kgooexe/updata.exe
0008C178 00492778    0 kgooexe

000F7B64 004FE164    0 http://mms.a8.com/sg/send2.asp?uid=3813&ADFBID=&ADFCID=&ad=&No=LY010027&keyword=
000F7BC0 004FE1C0    0 http://www.joyo.com
000F7BDC 004FE1DC    0 ?source=
000F7C0C 004FE20C    0 http://96333.com
000F7C28 004FE228    0 http://www.j96333.com
000F7C48 004FE248    0 http://www.96333.com/
000F7C68 004FE268    0 http://www.96333.com/?channelId=30186
000F7C98 004FE298    0 http://www.joyo.com/
000F7CB8 004FE2B8    0 http://joyo.com/
000F7CD4 004FE2D4    0 http://www.joyo.com/?source=addjosite
000F7D04 004FE304    0 moyu.com/
000F7D18 004FE318    0 uid=20071&a=&b=&c=&d=&e=&f=
000F7D3C 004FE33C    0 http://www.91ivr.com
000F7D5C 004FE35C    0 &seo=
000F7D6C 004FE36C    0 &seo=3288
000F7D80 004FE380    0 caiku.com
000F7D94 004FE394    0 uid=24927
000F7DA8 004FE3A8    0 http://shop.7cv.com
000F7DC4 004FE3C4    0 ?asstfrom=
000F7DD8 004FE3D8    0 http://shop.7cv.com/index.php?asstfrom=add7cv
000F7E10 004FE410    0 zhangxiu.com
000F7E34 004FE434    0 ?f=9530
000F7E44 004FE444    0 f=9530
000F7E54 004FE454    0 7town.com
000F7E68 004FE468    0 uid=21498&a=&b=&c=&d=&e=&f=&g=
000F7E90 004FE490    0 dangdang.com
000F7EA8 004FE4A8    0 search
000F7EB8 004FE4B8    0 http://www.dangdang.com/league/leagueref.asp?from=P-233268&backurl=
000F7F14 004FE514    0 ebay.com
000F7F28 004FE528    0 http://rover.ebay.com/rover/1/4080-22903-9499-0/1?aid=pp265;text;hp&mpre=
000F7F7C 004FE57C    0 http://www.joyo.com/detail/product.asp?prodid=
000F7FB4 004FE5B4    0 7cv.com

000F8178 004FE778    0 Common AppData
000F8190 004FE790    0 WLANPro.exe
000F8213 004FE813    0 ie\kugoo\Hgj.pas
000F822C 004FE82C    0 Assertion failure
000F84C8 004FEAC8    0 Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{42490C4D-0F58-4FB7-955F-9F33330052EF}
000F85A0 004FEBA0    0 Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{42490C4D-0F58-4FB7-955F-9F33330052EF}

updata.exe的字符串如下（节选）：

000062CC 004062CC    0 http://msg.ilone.cn/html/downloader.gif
000062FC 004062FC    0 http://update2.ilone.cn/update/downloader.gif
00006334 00406334    0 http://update3.hx10.cn/update/downloader.gif
00006510 00406510    0 http://msg.ilone.cn/html/agentcfg/news

00006894 00406894    0 http://update1.ilone.cn:8080/4/

[ 本帖最后由 zwl2828 于 2008-1-12 12:46 编辑 ]

显示全部楼层 · 发表于 2008-1-12 12:51:20

下来玩玩看.

显示全部楼层 · 发表于 2008-1-12 13:01:35

E:\xiazai\kugooexe\kugooexe.exe TrojanDownloader.Delf.dui.pqlu 木马已删除/隔离

显示全部楼层 · 发表于 2008-1-12 13:23:25

Trojan-Downloader.Win32.Delf.dui

[病毒样本] 有微点，影子，不怕死的来(去密码）

回复 20楼野马的帖子

回复 23楼野马的帖子

本帖子中包含更多资源

本帖子中包含更多资源

NOD32

[病毒样本] 有微点，影子，不怕死的来(去密码）

回复 20楼 野马 的帖子

回复 23楼 野马 的帖子

本帖子中包含更多资源

本帖子中包含更多资源

NOD32

回复 20楼野马的帖子

回复 23楼野马的帖子