木蚂蚁挂马了

显示全部楼层 · 发表于 2008-6-1 11:44:34

h**p://soft.mumayi.net/downinfo/10602.html
前面几个都还好
这个嘛

显示全部楼层 · 发表于 2008-6-1 12:03:50

似乎不是毒

:\病毒测试\临时解压\2200.rar:\2200.exe
D:\病毒测试\临时解压\2200.rar
D:\病毒测试\临时解压\system32.rar:\system32\windownewsups.ini
D:\病毒测试\临时解压\system32.rar:\system32\hiotabbdihock.dll - 可疑代码段被发现 (Level: 20)
D:\病毒测试\临时解压\system32.rar

5 文件被扫描
(2 压缩档 3 文件)
0 特征码被侦测
1 可疑代码段被发现
耗时: 0:02.854

显示全部楼层 · 发表于 2008-6-1 12:30:42

00001810 00403010    0 %s\Nt_File_Temp\%d.bmp
00001830 00403030    0 %windir%\Nt_File_Temp\edit.bmp
00001858 00403058    0 http://www.dtdtdk.net/dk.txt
00001878 00403078    0 %windir%\Nt_File_Temp\list.bmp
00001898 00403098    0 echo y|cacls %s /C /G %s:f
000018B4 004030B4    0 echo y|cacls %s /T /C /G %s:f
000018D4 004030D4    0 %UserName%
000018E0 004030E0    0 \notepad.exe
000018F0 004030F0    0 \explorer.exe
00001900 00403100    0 %s %s
00001908 00403108    0 %windir%\System32\dllcache\explorer.exe
00001930 00403130    0 %windir%\System32\dllcache
0000194C 0040314C    0 explorer.exe
0000195C 0040315C    0 %windir%\Nt_File_Temp\
00001974 00403174    0 MICK_DOWNLOAD_MUTEX
00001988 00403188    0 %windir%\Nt_File_Temp\___temp.bat

挂马是肯定的在temp下生产 orz.exe

在system32下生产............

跟前几天的那个毒一样

下载列表

30
http://softa.softkills.net/softd.exe
http://softa.softkills.net/soft0.exe
http://softa.softkills.net/soft1.exe
http://softa.softkills.net/soft2.exe
http://softa.softkills.net/soft3.exe
http://softa.softkills.net/soft4.exe
http://softa.softkills.net/soft5.exe
http://softa.softkills.net/soft6.exe
http://softa.softkills.net/soft7.exe
http://softb.softkills.net/soft8.exe
http://softb.softkills.net/soft9.exe
http://softb.softkills.net/soft10.exe
http://softb.softkills.net/soft11.exe
http://softb.softkills.net/soft12.exe
http://softb.softkills.net/soft13.exe
http://softb.softkills.net/soft14.exe
http://softc.softkills.net/soft15.exe
http://softc.softkills.net/soft16.exe
http://softc.softkills.net/soft17.exe
http://softc.softkills.net/soft18.exe
http://softc.softkills.net/soft19.exe
http://softc.softkills.net/soft20.exe
http://softc.softkills.net/soft21.exe
http://softc.softkills.net/soft22.exe
http://softd.softkills.net/soft23.exe
http://softd.softkills.net/soft24.exe
http://softd.softkills.net/soft25.exe
http://softd.softkills.net/soft26.exe
http://softd.softkills.net/soft27.exe
http://softd.softkills.net/soft28.exe
http://softd.softkills.net/soft29.exe
http://softd.softkills.net/soft30.exe
http://softd.softkills.net/soft31.exe

复制代码

显示全部楼层 · 发表于 2008-6-1 12:41:19

卡巴杀

已删除：广告程序 not-a-virus:AdWare.Win32.Ejik.gj 文件　: D:\软件\其它\v\k\2200.rar/2200.exe//PE_Patch.PECompact//PecBundle//PECompact
已删除：广告程序 not-a-virus:AdWare.Win32.Ejik.gj 文件　: D:\软件\其它\v\k\system32.rar/system32\hiotabbdihock.dll//PE_Patch.PECompact//PecBundle//PECompact

显示全部楼层 · 发表于 2008-6-1 12:48:01

金山毒霸 0

显示全部楼层 · 发表于 2008-6-1 12:52:24

orz.exe真不少。。。

显示全部楼层 · 发表于 2008-6-1 13:18:40

http://user1.kugogo.net/Baidu.cab

http://user1.12-23.net/bak.css

显示全部楼层 · 发表于 2008-6-1 20:06:06

http://bbs.kafan.cn/viewthread.php?tid=260773&extra=page%3D3

显示全部楼层 · 发表于 2008-6-1 20:07:47

[Found possible Trojan] <W32/Heuristic-VFM!Eldorado (not disinfectable)> C:\Documents and Settings\All Users\Documents\Test\system32.rar->system32\hiotabbdihock.dll->(PecBundle)

---------------------------------------------------------------------
Scan ended: 2008-6-1, 20:07:20
Duration: 0:00:02

Scan result:

Scanned files:    7
Infected objects:    1
Disinfected objects:    0
Quarantined files:    0
---------------------------------------------------------------------

显示全部楼层 · 发表于 2008-6-1 21:29:07

这个前几天就有人说的了。。。
可惜了。。。今天还没有清除。。。

[已鉴定] 木蚂蚁挂马了

主要还是这2个

昨天已经有人报告了！

F-Prot 4.4.4