昨天才装的系统，今天就中了木马，晕！！！

显示全部楼层 · 发表于 2010-1-23 22:59:27

本帖最后由 zhouke 于 2010-1-24 17:55 编辑

系统是Win7+MSE+系统墙，原来以为很好很强大的，今天开机发现主页被改成"go.xj.cn"，IE的快捷方式后面被加了个尾巴http://go.xj.cn，屏幕保护被改为"winter.scr"，上传到VirusTotal，结果如下：
-----------------------------------------------------------------------
反病毒引擎版本最后更新扫描结果
a-squared 4.5.0.50 2010.01.23 Trojan-Clicker.Win32.VB!IK
AhnLab-V3 5.0.0.2 2010.01.23 -
AntiVir 7.9.1.146 2010.01.22 -
Antiy-AVL 2.0.3.7 2010.01.22 Trojan/Win32.VB.gen
Authentium 5.2.0.5 2010.01.23 -
Avast 4.8.1351.0 2010.01.22 -
AVG 9.0.0.730 2010.01.23 -
BitDefender 7.2 2010.01.23 -
CAT-QuickHeal 10.00 2010.01.22 -
ClamAV 0.94.1 2010.01.22 -
Comodo 3681 2010.01.23 -
DrWeb 5.0.1.12222 2010.01.23 -
eSafe 7.0.17.0 2010.01.21 -
eTrust-Vet 35.2.7255 2010.01.22 -
F-Prot 4.5.1.85 2010.01.22 -
F-Secure 9.0.15370.0 2010.01.23 -
Fortinet 4.0.14.0 2010.01.23 -
GData 19 2010.01.23 -
Ikarus T3.1.1.80.0 2010.01.23 Trojan-Clicker.Win32.VB
Jiangmin 13.0.900 2010.01.23 -
K7AntiVirus 7.10.952 2010.01.22 -
Kaspersky 7.0.0.125 2010.01.23 Trojan-Clicker.Win32.VB.dhi
McAfee 5869 2010.01.22 -
McAfee+Artemis 5869 2010.01.22 -
McAfee-GW-Edition 6.8.5 2010.01.23 Heuristic.LooksLike.Win32.Suspicious.L!88
Microsoft 1.5405 2010.01.23 -
NOD32 4799 2010.01.23 -
Norman 6.04.03 2010.01.23 -
nProtect 2009.1.8.0 2010.01.23 Trojan/W32.Agent.49152.ZH
Panda 10.0.2.2 2010.01.23 Suspicious file
PCTools 7.0.3.5 2010.01.23 -
Prevx 3.0 2010.01.23 -
Rising 22.31.04.04 2010.01.22 Trojan.Win32.StartPage.nwe
Sophos 4.50.0 2010.01.23 -
Sunbelt 3.2.1858.2 2010.01.23 -
Symantec 20091.2.0.41 2010.01.23 -
TheHacker 6.5.0.9.160 2010.01.23 -
TrendMicro 9.120.0.1004 2010.01.23 -
VBA32 3.12.12.1 2010.01.23 -
ViRobot 2010.1.23.2152 2010.01.23 -
VirusBuster 5.0.21.0 2010.01.22 -
------------------------------------------------------------------------------------
昨天装完系统就安装了几个常用软件，UtrlEdit、WinRAR、迅雷5、迅雷看看、PPS，都是正规软件原来也经常用的，然后在迅雷看看上看了一会儿“福尔摩斯”，都没怎么上网就关机了。这玩意儿怎么进来的？

经过多次测试，发现原来是虚拟光驱“Deamon Tools Lite”搞的鬼，安装文件为DTLite4355-0068.exe。记不清到底是在哪里下的，于是重新在天空下了一个，文件名都是一样的，但原来那个要大些，肯定是被绑了个木马进去，TNND！流氓无处不在。
----------------------------------------------------------------------------
文件: D:\Downloads\DTLite4355-0068\DTLite4355-0068.exe
大小: 9161776 字节
文件版本: 4.35.5.0068.0
修改时间: 2009年11月2日, 11:18:52
MD5: AAAEC040BD129CF4C2A64FF357C2F54E
SHA1: C8E0BC823B4AC9E4FDB54BFAB1457D755C3DCF16
CRC32: FF939634
文件: D:\System\Software\虚拟光驱\DTLite4355-0068.exe
大小: 9293824 字节
文件版本: 4.35.0568
修改时间: 2009年11月9日, 8:13:28
MD5: 92DE31FFBAE19BBAF3D9189FC26F7F43
SHA1: CFE9952380CD285B46EF3C063F4C745F79A2F441
CRC32: 67E0BB84
---------------------------------------------------------------------------------

显示全部楼层 · 发表于 2010-1-23 23:00:47

发样本区看看

显示全部楼层 · 发表于 2010-1-23 23:01:28

不是系统自带病毒吧

显示全部楼层 · 发表于 2010-1-23 23:01:39

系统自带的

显示全部楼层 · 发表于 2010-1-23 23:07:29

应该不可能是系统带的，我用的是联想OEM版Win7（刷Bios激活的）。而且原来安装就没有这个问题，用Ghost备份后恢复的。

显示全部楼层 · 发表于 2010-1-23 23:12:46

您的那些正规软件是官方版本吗？

显示全部楼层 · 发表于 2010-1-23 23:14:32

只有WinRAR是从从下载吧下的破解版，UtrlEdit使用过注册机，但是以前用都没有问题的。

显示全部楼层 · 发表于 2010-1-23 23:19:40

MSE 真的很强大估计楼主中的是网马可能你浏览网页进来的也可能装什么软件带的恶意的程序

显示全部楼层 · 发表于 2010-1-23 23:24:29

同意LS的观点，MSE 挺不错的，另找原因

显示全部楼层 · 发表于 2010-1-23 23:25:24

好诡异等待高人

[求助] 昨天才装的系统，今天就中了木马，晕！！！