[MD5:012431]恶意添加网址快捷方式

xiaoming93

此文件在桌面添加IE快捷方式，并且修改快速启动栏的IE快捷方式，均指向hXXp://www.daohang86.com；360安全卫士无视，卡巴2009送入低受限，不阻止，不提示。另外它不定期运行；位置在C:\windows\temp，删除后不知道什么时候又冒出来，而且同一局域网内好多人同时中招；用各种工具分析进程、启动项、加载项均未见异常。目前已用拉入卡巴斯基未信任组的方法阻止。
望大家用其他的测试看看

[ 本帖最后由 xiaoming93 于 2008-11-5 18:37 编辑 ]

250662772

00403038      0   %s:\Documents and Settings\%s\
0040305C      0   http://www.daohang86.com/
0040307C      0    Internet Explorer
0040309C      0   %s:\Documents and Settings\%s\Application Data\Microsoft\Internet Explorer\Quick Launch\
004030F8      0   %s:\Program Files\Internet Explorer\IEXPLORE.EXE

测试了没事，就是添加IE快捷方式，并在目标添加那个网址，不会自动启动，就是个骗流量的

[ 本帖最后由 250662772 于 2008-11-5 18:56 编辑 ]

冷冷

012431D3B071888B2C92EDF14336EF10  FlashUpdate.exe 没有其他恶意行为
只是在 IE添加了那个网址 以欺骗“点击量”

[ 本帖最后由 冷冷 于 2008-11-5 18:48 编辑 ]

xiaoming93

原帖由 冷冷 于 2008-11-5 18:45 发表
012431D3B071888B2C92EDF14336EF10  FlashUpdate.exe 没有其他恶意行为
只是在 IE添加了那个网址 以欺骗“点击量”

问题是，我不知道它是怎么跑进我电脑里面的，并且手动删了好多次都又冒出来，还有它是怎么执行的，我经常是在浏览网页时候突然卡巴斯基提示“ModIE Microsoft基础类应用程序添加到低受限”，然后出现的那些快捷方式。我们一个局域网内好多人电脑里都有这个现象。

250662772

原帖由 xiaoming93 于 2008-11-5 18:54 发表

问题是，我不知道它是怎么跑进我电脑里面的，并且手动删了好多次都又冒出来，还有它是怎么执行的，我经常是在浏览网页时候突然卡巴斯基提示“ModIE Microsoft基础类应用程序添加到低受限”，然后出现的那些快捷方式 ...

你扫描个日志
下载sreng
点击下载地址1 sreng 点击下载地址2 sreng
解压sreng2.zip-->打开SREngLdr.EXE-->勾选 智能扫描-->记得勾选检查进程模块数字签名-->扫描-->保存报告 保存到桌面将 SREngLOG.log 上传到论坛或把其中内容完整的复制粘贴到论坛上来(快捷提示：ctrl+a全选，ctrl+c复制,ctrl+v粘贴)，不要修改如无法运行，请重命名文件夹名和文件名，如abc.exe/abc.com/abc.bat/abc.scr/abc.pif等注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

冷冷

有可能是中了ARP

xf2004

我也中了,目前找到与他有关的注册表在:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache\
键值: C:\\WINDOWS\\TEMP\\FlashUpdate.exe
内容: ModIE Microsoft 基础类应用程序

在C:\WINDOWS\TEMP\下有对应FlashUpdate.exe这个文件,把上面的注册表键值和对应的文件删除后已经3天了不见再自动生成快捷方式, 但我不知道这个注册表项目与他启动有什么关系!