超猛毒网，狂弹出网马到死，新手慎进

显示全部楼层 · 发表于 2007-6-10 02:00:57

http://shrb.dzwww.com/shrbxw/ylxw/200706/t20070609_2217497.htm

这个毒网真强啊，开咖啡进去居然弹到快死机了，咖啡拦截了十几个网页木马

显示全部楼层 · 发表于 2007-6-10 02:10:05

什么也没有。我是OP和BD10。

[ 本帖最后由 1688388728 于 2007-6-10 02:12 编辑 ]

显示全部楼层 · 发表于 2007-6-10 02:13:08

刚刚在剑盟看见
进去后什么都没有弹出

显示全部楼层 · 发表于 2007-6-10 02:20:28

avast!没报

显示全部楼层 · 发表于 2007-6-10 03:17:15

难道是咖啡误报了吗

显示全部楼层 · 发表于 2007-6-10 08:06:42

用非IE内核浏览器的请不要发贴说“一切正常”这一类的话了，发了等于白发

捉到了两只
http://121.10.107.193/soft/RavM.exe Win32/TrojanDownloader.Small.ESR trojan
http://0011.89111.cn/down.exe probably a variant of Win32/PSW.Delf.NHI trojan

还有一个试图把自己下载到根目录的.com，可是好像死的，不发了

显示全部楼层 · 发表于 2007-6-10 08:24:43

運行RavM.exe，發現下列行為，被EQ-Secure RC1攔截！
--------------
2007-06-10 08:12:04 運行應用程序    操作:允許
進成路徑:C:\WINDOWS\Explorer.EXE
文件路徑:D:\桌面\virus\RavM.exe
规则:應用程序規則->系統程序->%windir%\Explorer.EXE

2007-06-10 08:12:04 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\WINDOWS\system32\unlmon.dll
规则:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll

2007-06-10 08:12:04 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\WINDOWS\system32\unlmon.dll
规则:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll

2007-06-10 08:12:04 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\WINDOWS\system32\unlmon.dll
规则:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll

2007-06-10 08:12:04 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\WINDOWS\system32\install.exe
规则:所有程序規則->2.1.2保護系統進程->*\*system*.exe

2007-06-10 08:12:04 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\WINDOWS\system32\install.exe
规则:所有程序規則->2.1.2保護系統進程->*\*system*.exe

2007-06-10 08:12:04 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\WINDOWS\system32\install.exe
规则:所有程序規則->2.1.2保護系統進程->*\*system*.exe

2007-06-10 08:12:04 修改註冊表内容    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
註冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{10072CEC-8CC1-11D1-986E-00A0C912342F}
註冊表名稱:[Key]
规则:所有程序規則->其他重要項_普通模式->*\SOFTWARE\Microsoft\Active Setup\Installed Components*

2007-06-10 08:12:04 修改註冊表内容    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
註冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{10072CEC-8CC1-11D1-986E-00A0C912342F}
註冊表名稱:[Key]
规则:所有程序規則->其他重要項_普通模式->*\SOFTWARE\Microsoft\Active Setup\Installed Components*

2007-06-10 08:12:19 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:20 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\WINDOWS\Deleteme.bat
规则:黑名單->In Side->*.bat

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:22 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->*\autorun.inf

2007-06-10 08:12:23 創建文件    操作:阻止
進成路徑:D:\桌面\virus\RavM.exe
文件路徑:C:\program files\autorun.inf

-------------------------------------------------------------------------------------------------
1.他會在下列路徑產生unlmon.dll
C:\WINDOWS\system32\
2.他會在下列路徑產生install.exe
C:\WINDOWS\system32\
3.他會修改註冊表内容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{10072CEC-8CC1-11D1-986E-00A0C912342F}
[Key]
4.他會在下列路徑產生autorun.inf
C:\program files\
5.他會在下列路徑產生Deleteme.bat
C:\WINDOWS\

显示全部楼层 · 发表于 2007-6-10 08:34:00

運行down.exe，發現下列行為，被EQ-Secure RC1 攔截！
----------------
2007-06-10 08:30:52 運行應用程序    操作:允許
進成路徑:C:\WINDOWS\Explorer.EXE
文件路徑:D:\桌面\virus\down.exe
规则:應用程序規則->系統程序->%windir%\Explorer.EXE

2007-06-10 08:30:53 創建文件    操作:阻止
進成路徑:D:\桌面\virus\down.exe
文件路徑:C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewTemp.bak
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->%SystemDrive%\*

2007-06-10 08:30:53 創建文件    操作:阻止
進成路徑:D:\桌面\virus\down.exe
文件路徑:C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewTemp.bak
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->%SystemDrive%\*

2007-06-10 08:30:53 創建文件    操作:阻止
進成路徑:D:\桌面\virus\down.exe
文件路徑:C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewTemp.bak
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->%SystemDrive%\*

2007-06-10 08:30:53 創建文件    操作:阻止
進成路徑:D:\桌面\virus\down.exe
文件路徑:C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewTemp.dll
规则:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll

2007-06-10 08:30:53 创建注册表值    操作:阻止
進成路徑:D:\桌面\virus\down.exe
註冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
註冊表名稱:{0EA66AD2-CF26-2E23-532B-B292E22F3266}
规则:所有程序規則->資源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks*

--------------------------------------------------------------------------------------------------------------------
1.他會在下列路徑產生NewTemp.bak
C:\Program Files\Common Files\Microsoft Shared\MSINFO\
2.他會在下列路徑產生NewTemp.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\
3.他會创建注册表值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{0EA66AD2-CF26-2E23-532B-B292E22F3266}

显示全部楼层 · 发表于 2007-6-10 09:28:10

我用遨游也什么也没发现

显示全部楼层 · 发表于 2007-6-10 09:30:13

原帖由 a256886572008 于 2007-6-9 19:24 发表
運行RavM.exe，發現下列行為，被EQ-Secure RC1攔截！
--------------
2007-06-10 08:12:04 運行應用程序操作:允許
進成路徑:C:\WINDOWS\Explorer.EXE
文件路徑:D:\ ...

这是什么杀软?
好强

[病毒样本] 超猛毒网，狂弹出网马到死，新手慎进

本帖子中包含更多资源