是AVIRA误报还是ESET漏报？

显示全部楼层 · 发表于 2009-3-27 18:28:03

打好系统补丁，就算漏报，病毒也运行不了

显示全部楼层 · 发表于 2009-3-27 18:52:00

原帖由 onlyairpig 于 2009-3-27 14:49 发表
楼主是告诉我们小红伞误报吗，还是告诉我们nod32没有误杀出现。

我不想给别人表达任何信息

我就是不知道是红伞误报还是nod32查不出来而已

因为我就装了两个杀毒软件，无法拿第三种来验证

[ 本帖最后由 icqu 于 2009-3-27 18:55 编辑 ]

显示全部楼层 · 发表于 2009-3-27 19:13:20

红伞的浏览缓存扫描报告，确实有病毒
Exported events:

2009-3-27 19:08 [Guard] Malware found
   Virus or unwanted program 'HTML/Shellcode.Gen [virus]'
   detected in file 'C:\Documents and Settings\Administrator\Local
   Settings\Temporary Internet Files\Content.IE5\ATNZRQAB\xmybrx[1].js.
   Action performed: Overwrite file

2009-3-27 19:08 [Guard] Malware found
   Virus or unwanted program 'HTML/Shellcode.Gen [virus]'
   detected in file 'C:\Documents and Settings\Administrator\Local
   Settings\Temporary Internet Files\Content.IE5\PY81CH4J\ss[1].htm.
   Action performed: Overwrite file

2009-3-27 19:08 [Guard] Malware found
   Virus or unwanted program 'HTML/Dldr.Iframe.JP [virus]'
   detected in file 'C:\Documents and Settings\Administrator\Local
   Settings\Temporary Internet Files\Content.IE5\MX5LJCHN\1[1].htm.
   Action performed: Overwrite file

2009-3-27 19:08 [Guard] Malware found
   Virus or unwanted program 'JS/Dldr.IFrame.IV [virus]'
   detected in file 'C:\Documents and Settings\Administrator\Local
   Settings\Temporary Internet Files\Content.IE5\2BX5RZEG\fxx[1].htm.
   Action performed: Overwrite file

2009-3-27 19:07 [Guard] Malware found
   Virus or unwanted program 'HTML/Shellcode.Gen [virus]'
   detected in file 'C:\Documents and Settings\Administrator\Local
   Settings\Temporary Internet Files\Content.IE5\2BX5RZEG\xmybrx[1].js.
   Action performed: Overwrite file

2009-3-27 19:07 [Guard] Malware found
   Virus or unwanted program 'HTML/Shellcode.Gen [virus]'
   detected in file 'C:\Documents and Settings\Administrator\Local
   Settings\Temporary Internet Files\Content.IE5\MX5LJCHN\ss[1].htm.
   Action performed: Overwrite file

2009-3-27 19:07 [Guard] Malware found
   Virus or unwanted program 'JS/Dldr.IFrame.IV [virus]'
   detected in file 'C:\Documents and Settings\Administrator\Local
   Settings\Temporary Internet Files\Content.IE5\PY81CH4J\fxx[1].htm.
   Action performed: Overwrite file

2009-3-27 19:07 [Guard] Malware found
   Virus or unwanted program 'HTML/Downloader.Gen [virus]'
   detected in file 'C:\Documents and Settings\Administrator\Local
   Settings\Temporary Internet Files\Content.IE5\2BX5RZEG\1[1].htm.
   Action performed: Overwrite file

显示全部楼层 · 发表于 2009-3-27 19:19:45

不能妄下定论

显示全部楼层 · 发表于 2009-3-27 19:25:49

谁都不敢下定论...那么由我来下吧...此网站绝对已经被挂马...而且是主动挂上的...
关于:hxxp://xxx.nnsese.com/html/tpzp/list2_1.html解密的日志(全体输出 -  42):

Level  0>http://xxx.nnsese.com/html/tpzp/list2_1.html
Level  1>http://xxx.nnsese.com/skin/default/top.js
Level  1>http://xxx.nnsese.com/skin/default/end.js
Level  2>http://www.rrr318.cn/zf/1.htm
Level  3>http://www.o5op015.cn/a108/fxx.htm
Level  4>http://www.o5op015.cn/a1/real.html
Level  5>http://www.o5op015.cn/a1/realdadong.js
Level  6>http://d.mxxio.com:88/new/a1.css  ●
Level  4>http://www.o5op015.cn/a1/real.htm
Level  5>http://www.o5op015.cn/a1/mybrreal.js
Level  6>http://d.mxxio.com:88/new/a1.css  ●
Level  4>http://www.o5op015.cn/a1/glworld.html
Level  5>http://www.o5op015.cn/a1/hohogl.js
Level  6>http://d.mxxio.com:88/new/a1.css  ●
Level  4>http://www.o5op015.cn/a1/bfyy.htm
Level  4>http://www.o5op015.cn/a1/no.htm
Level  5>http://www.o5op015.cn/a1/sinawobushimybr.js
Level  6>http://d.weixk.com/new/a1.css  ●
Level  4>http://www.o5op015.cn/a1/sina.htm
Level  5>http://www.o5op015.cn/a1/sina.js
Level  5>http://d.opqxn.com/new/a2.css  ●
Level  4>http://www.o5op015.cn/a1/ms06014.htm
Level  5>http://www.o5op015.cn/a1/06014.js
Level  6>http://d.mxxio.com:88/new/a1.css  ●
Level  4>http://www.o5op015.cn/a1/ss.htm
Level  5>http://www.o5op015.cn/a1/xmybrx.js
Level  6>http://d.mxxio.com:88/new/a1.css  ●
Level  4>http://www.o5op015.cn/a108/fx.htm
Level  5>http://www.o5op015.cn/a108/flink.html
Level  6>http://www.o5op015.cn/a108/f16.swf  ●
Level  7>http://d.mxxio.com:88/new/a108.css  ●
Level  6>http://www.o5op015.cn/a108/f28.swf  ●
Level  6>http://www.o5op015.cn/a108/f45.swf  ●
Level  6>http://www.o5op015.cn/a108/f47.swf  ●
Level  6>http://www.o5op015.cn/a108/f64.swf  ●
Level  6>http://www.o5op015.cn/a108/f115.swf  ●
Level  5>http://www.o5op015.cn/a108/ilink.html
Level  6>http://www.o5op015.cn/a108/i28.swf  ●
Level  6>http://www.o5op015.cn/a108/i16.swf  ●
Level  6>http://www.o5op015.cn/a108/i45.swf  ●
Level  1>http://xxx.nnsese.com/skin/default/tj.js
Level  1>http://s26.cnzz.com/stat.php?id=1013994&web_id=1013994

Log by aarwwefdds(打点的均为真实木马地址,swf除外)

显示全部楼层 · 发表于 2009-3-27 19:43:12

已经投身伞营了，，下在体验中，等ESET4.0有中文了再回去试试。

显示全部楼层 · 发表于 2009-3-27 19:44:08

原帖由 jpzy 于 2009-3-27 12:35 发表
虚拟机开着咖啡进去，什么也没报~！
你最好把你的红伞报警贴出来，有的时候iframe=0红伞就报了~！

咖啡报了3次，很明显eset漏报

[ 本帖最后由 yeow5243 于 2009-3-27 19:45 编辑 ]

显示全部楼层 · 发表于 2009-3-27 19:44:21

25L高手解答学习

显示全部楼层 · 发表于 2009-3-27 19:56:24

ESET只要报了以下地址，那么对此毒网也可以正常拦截，不会中毒：
Level  6>http://d.mxxio.com:88/new/a1.css
Level  6>http://d.weixk.com/new/a1.css
Level  5>http://d.opqxn.com/new/a2.css
Level  7>http://d.mxxio.com:88/new/a108.css
注：CSS为伪后缀，真实后缀为EXE...

显示全部楼层 · 发表于 2009-3-27 20:02:47

用的红豆，上了这个网站什么反应都没有，给我吓出一身冷汗。难道我已经中招了？

打开红伞后才发现，红伞已经砍死好多malware了。原来我是设置的自动处理

严重扁死V9自动处理不发声！

[已鉴定] 是AVIRA误报还是ESET漏报？