大家帮忙看看··这个网址有鬼

kaibuliaokou

晚上打开电脑，拨完号后，打开IE，突然NOD32 EAV报毒，我打开的可是IE主页bing啊，怎么回报毒呢？

结果我再到EAV的日志里去看看，发现了日志··如下图所示·




我按图索骥，在历史记录里找到了网站的地址 http://11a.17site.info:171/360/mv-.html?id=3007
我不知道这个网站是什么时候访问的？我也不知道他是通过什么途径来访问的？只是我打开IE他就出现了，但他的的确确的出现在了我的历史记录里面了，
希望大家帮我看看，这个地址是不是被挂马了，谢谢了，
如果有高手告诉我我的电脑是怎么了，那在下感谢不尽，谢谢了！希望大家都帮帮忙啊！

sadfish5

可能是你的电脑里有未知的木马下载器，
那那网址指向的地址，加载了一个名叫Content.IE5\D7ZV1TKA\3007[1].exe的病毒

抓紧全盘扫描一下吧~~~~~

kerry

图挂了？？？

kerry

火狐报攻击页面

幸福的猪猪

楼主提供的那个网页地址为挂马页面。

解析出来的木马最终下载地址为：hxxp://b.vv49.com/js.exe  （我这边下载不到木马样本。挂马页面有点像"极风"变种，建议打上微软发布的安全补丁。）

p.s. 清理一下IE缓存，看能不能解决楼主的问题？楼主的网络是处于局域网的吗？要是的话，建议再安装一个ARP防火墙。（刚才逛病毒救援区，看到某个朋友发的求助贴，想到的。）

那个%u解密密匙为：c2

p.s.01  抱歉，我没注意这个挂马网页居然有两个木马下载地址。第一个就是我解析出来的好像是骗人耳目的（也有可能是过期的木马下载地址）第二个才是真正的木马下载地址吧。详情见6L的解密日志。（看来我的解密经验还有待提升，潜水继续学习。）

always

关于:hxxp://11a.17site.info:171/360/3007/a.jpg解密的日志(全体输出 -  2):

Level  1>http://11a.17site.info:171/360/3007/a.jpg
Level  2>http://web.msx-1.info:8886/Down/my/3007.exe

日志由 Redoce2.0第89次修正版于 2010-4-15 7:25:28 生成。

newlight

小a报溢出被拦截

lyqzg

关于:hxxp://11a.17site.info:171/360/3007/a.jpg解密的日志(全体输出 -  2):

Level  1>http://11a.17si ...
always 发表于 2010-4-15 07:27

晕，还设了陷井

shangsrshui

两个地址，看来人家是萨费苦心呀！

黄瓜好贵哟

http://b.vv49.com/js.exe        N/A        N/A       
http://web.msx-1.info:8886/Down/my/3007.exe        PE32 executable for MS Windows (GUI) Intel 80386 32-bit        63141b300300ca44511854b8deb6f8aa       
Anubis report