这个穿透了影子2008了吗？

fufuji97

举报者系统为深度XP5.7，开着ie6去的，只有一个正版，影子2008，补丁未打，现象是浏览网站时下载了大量木马，

系统蓝屏，重启之后电脑的图标丢失，病毒依旧在C盘和E盘。网站地址hxxp：//1.82yyy.com

此病毒不涉及fat和nfts问题，本人开着ie6全影上去以后根本没反映，严重怀疑是漏洞问题，且尤其是微软的GDI漏洞，

打开网站后会下载几十个到上百个木马，文件名从ih11一直到iheac，但是在我这里没进程出现，没驱动服务加载，没

启动项加载，除了给我安装了一个ie控件，什么都没动作,烦请高手以未打补丁的系统测试一下，谢谢

这是给我安装的控件的注册表值
注册表键： HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}
   注册表值： AlternateCLSID
      类型: REG_SZ
      值： {F0E42D40-368C-11D0-AD81-00A0C90DC8D9}

fufuji97

补充一下，我的fd没发现C盘有写入，除了那个控件

xyao

打了补丁的话应该穿不了，不打补丁再好的防御软件也是白搭

peter08

我没打补丁，SD+ EQ锁定模式进去。安全出来了。
不过我用的不是IE。

fufuji97

原帖由 peter08 于 2009-1-6 10:15 发表
我没打补丁，SD+ EQ锁定模式进去。安全出来了。
不过我用的不是IE。

我开展opera进去也没反应

fufuji97

system32文件夹生产killkb和update两个dll，卡巴服务被禁用，drivers产生pcidump.sys，各分区autorun，调动系统进程rundll32.exe然后以他来打开ie下载盗号木马，穿不穿就看pcidump.sys了，一会儿重启试试

fufuji97

确认已穿透影子2008，
此病毒加载两个驱动，先后是acpies.sys和pcidump.sys，其中第一个替换系统文件，怀疑是穿透母体，

jmzz

原帖由 fufuji97 于 2009-1-6 11:14 发表
确认已穿透影子2008，
此病毒加载两个驱动，先后是acpies.sys和pcidump.sys，其中第一个替换系统文件，怀疑是穿透母体，

能提供这两个文件吗？

fufuji97

原帖由 jmzz 于 2009-1-6 11:20 发表

能提供这两个文件吗？

你要干什么

peter08

穿了穿了真穿了。。。。
期待更新。。。