病毒，自己看，小心啊

显示全部楼层 · 发表于 2011-2-10 16:09:02

AVG没反应，浏览器火狐打开，乱码。

显示全部楼层 · 发表于 2011-2-10 16:23:58

ess kill

显示全部楼层 · 发表于 2011-2-10 16:33:51

Warning

--------------------------------------------------------------------------------

In order not to compromise your security, this page will not be accessed

A virus or unwanted program has been detected
in the HTTP data on the requested page.

--------------------------------------------------------------------------------

Requested URL: http://bbs.kafan.cn/forum-attach ... Q4MjIwNw%3D%3D.html
Information Is the TR/Inject.F.1 Trojan

--------------------------------------------------------------------------------

Generated by AntiVir WebGuard 9.0.5.0, AVE 8.2.4.162, VDF 7.11.3.32

显示全部楼层 · 发表于 2011-2-10 19:19:58

文件的位置: C:\PROGRAM FILES\COMMON FILES\ARSWP3.EXE
<启动方式>  :  不能自动启动
<当前状态>  :  文件已被删除

运行次数 :  2    首次运行 : 2011-02-10 19:16:41    最近运行 : 2011-02-10 19:16:42

   文件传递和复制记录:
-------------------------------------------------------------

时间 : 2-10 19:16:44
执行者 : C:\PROGRAM FILES\COMMON FILES\ARSWP3.EXE
动作说明 : 疑似复制
源文件 : C:\WINDOWS\WIN.INI
目标文件 : C:\WINDOWS\SYSTEM32\KWOUYT.DLL

时间 : 2-10 19:16:44
执行者 : C:\PROGRAM FILES\COMMON FILES\ARSWP3.EXE
动作说明 : 疑似复制
源文件 : C:\WINDOWS\WIN.INI
目标文件 : C:\WINDOWS\SYSTEM32\KWOUYT.DLL

   运行记录:
-------------------------------------------------------------

      启动时间: 2011-02-10 19:16:41
      启动者: C:\WINDOWS\DOWNLOADED PROGRAM FILES\MSN.EXE
      启动参数: API 方式加载

      启动时间: 2011-02-10 19:16:42
      启动者: C:\WINDOWS\DOWNLOADED PROGRAM FILES\MSN.EXE
      启动参数:  C:\Program Files\Common Files\ArSwp3.exe

   文件变更过程:
-------------------------------------------------------------

      操作者 : C:\WINDOWS\DOWNLOADED PROGRAM FILES\MSN.EXE
      操作时间 : 2011-02-10 19:16:40
      操作类型 : 新建

      操作者 : C:\PROGRAM FILES\COMMON FILES\ARSWP3.EXE
      操作时间 : 2011-02-10 19:16:44
      操作类型 : 删除

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-02-10 19:16:57
      操作类型 : 删除

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-02-10 19:17:00
      操作类型 : 删除

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-02-10 19:17:00
      操作类型 : 删除

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-02-10 19:17:00
      操作类型 : 删除

   该程序操作的文件(共7)
-------------------------------------------------------------

      文件名 : C:\WINDOWS\WIN.INI
      时间 : 2011-02-10 19:16:42
      动作 : 删除

      文件名 : C:\WINDOWS\WIN.INI
      时间 : 2011-02-10 19:16:42
      动作 : 新建

      文件名 : C:\WINDOWS\WIN.INI
      时间 : 2011-02-10 19:16:42
      动作 : 删除

      文件名 : C:\WINDOWS\WIN.INI
      时间 : 2011-02-10 19:16:42
      动作 : 新建

      文件名 : C:\WINDOWS\WIN.INI
      时间 : 2011-02-10 19:16:42
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\KWOUYT.DLL
      时间 : 2011-02-10 19:16:44
      动作 : 新建

      文件名 : C:\PROGRAM FILES\COMMON FILES\ARSWP3.EXE
      时间 : 2011-02-10 19:16:44
      动作 : 删除

   该文件运行的所有程序:
-------------------------------------------------------------

      程序路径 : C:\PROGRAM FILES\KINGSOFT\WEBSHIELD\KSWEBSHIELD.DLL
      运行时间 : 2011-02-10 19:16:42
      运行参数 : API 方式加载

      程序路径 : C:\PROGRAM FILES\KINGSOFT\WEBSHIELD\KWSUI.DLL
      运行时间 : 2011-02-10 19:16:42
      运行参数 : API 方式加载

   注册表操作(共4)
-------------------------------------------------------------

      操作时间 : 2011-02-10 19:16:43
      行    为 : 添加
      键    值 : HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\\XD43OA\
      值    名 : Description
      类    型 : REG_SZ
      旧    值 :
      新    值 : wqwq是监视硬件设备并自动更新设备驱动。

      操作时间 : 2011-02-10 19:16:43
      行    为 : 添加
      键    值 : HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\\XD43OA\PARAMETERS\
      值    名 : ServiceDll
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\KWOUYt.dll

      操作时间 : 2011-02-10 19:16:44
      行    为 : 添加
      键    值 : HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\XD43OA\
      值    名 : InstallModule
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\Program Files\Common Files\ArSwp3.exe

      操作时间 : 2011-02-10 19:16:44
      行    为 : 添加
      键    值 : HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\XD43OA\
      值    名 : ConnectGroup
      类    型 : REG_SZ
      旧    值 :
      新    值 : 多多都中

显示全部楼层 · 发表于 2011-2-10 20:01:37

木马通过chm下载并生成48MB的MSN.exe到download program files目录下并运行
运行后木马释放arwsp3.exe到 common files目录下
arwsp3.exe释放 c:\qqgamedl.exe , 这是QQ的正常文件
arwsp3.exe再次释放c:\factory.dll,这是qqgamedl.exe需要加载的DLL，是木马的恶意程序，木马通过这种劫持方式来试图达到可信进程运行恶意DLL的目的
木马同时会通过BlockInput锁定键盘鼠标，并释放一个black.scr来模拟游戏黑屏状态来绕过360主防，不过是无效的
木马同时会通过模拟按键模拟用户手动运行qqgamedl.exe,对360主防无效。
qqgamedl.exe运行后，其加载的Factory.dll会生成一个服务，并以svchost.exe为宿主运行。

显示全部楼层 · 发表于 2011-2-10 23:41:22

回复 17楼 solstice1988 的帖子

你的签名貌似是云天河的话

显示全部楼层 · 发表于 2011-2-10 23:47:24

回复 46楼 zhuyifan2007 的帖子

晕……你再百度一下吧～

显示全部楼层 · 发表于 2011-2-11 20:21:28

360杀毒扫描日志

病毒库版本：6682614
扫描时间：2011-02-11 20:18:31
扫描用时：00:00:22
扫描类型：右键扫描
扫描文件总数：19
威胁总数：2

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：通知用户
扫描系统内存：是
扫描磁盘引导区：是
扫描 Rootkit：是
使用QVM启发式引擎：是

扫描内容
----------------------
E:\360data\重要数据\桌面\帐号资料密保卡.chm

白名单设置
----------------------

扫描结果
======================
病毒扫描结果
----------------------
E:\360data\重要数据\桌面\帐号资料密保卡.chm=>msn.exe 游戏盗号木马(Trojan.Generic) 已删除
E:\360data\重要数据\桌面\帐号资料密保卡.chm=>msn.exe=>arswp3.exe 恶意程序(Malware.QVM07.Gen) 已删除
360

显示全部楼层 · 发表于 2011-2-11 21:00:26

2011-02-11 20:57:05 创建文件    操作:允许
进程路径:C:\WINDOWS\hh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\hhcolreg.dat
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*

2011-02-11 20:57:05 创建文件    操作:允许
进程路径:C:\WINDOWS\hh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\hhcolreg.dat
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*

2011-02-11 20:57:06 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\hh.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\NMC1F5VH\msn[1].exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\Content.IE5\*.exe

2011-02-11 20:57:06 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\hh.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\NMC1F5VH\msn[1].exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\Content.IE5\*.exe

2011-02-11 20:58:21 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\hh.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\NMC1F5VH\msn[1].exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\Content.IE5\*.exe

2011-02-11 20:58:21 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\hh.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\NMC1F5VH\msn[1].exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\Content.IE5\*.exe

显示全部楼层 · 发表于 2011-3-31 18:16:30

没事啊

[病毒样本] 病毒，自己看，小心啊