Board logo

标题: 为什么这个病毒微点无力?版主帮解释一下吧,谢谢 [打印本页]
作者: happy_star     时间: 2006-8-29 21:20    标题: 为什么这个病毒微点无力?版主帮解释一下吧,谢谢

我系统用的NOD32最新版本加微点最新版,刚更新好,后上网中了病毒,NOD32发现了,有提示,但微点没任何反应,病毒是木马,自动链接网上下载一个叫qidong.exe的东西,NOD32发现病毒并删除。见图片。
NOD32的日志如下:
时间        模件        物件        名称        病毒        操作        用户名称        信息
2006-8-29 21:21:24        IMON        文件        http://xxx.virussky.com/qidong.exe        Win32/TrojanDownloader.Delf.NMM 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 21:21:11        IMON        文件        http://afied.xxx/d/ms32.exe        a variant of Win32/TrojanDownloader.Delf.NHL 木马                HAPPY-4E82919D8\Happy Star       
2006-8-29 21:20:30        AMON        文件        C:\DOCUME~1\HAPPYS~1\LOCALS~1\Temp\an85.com        Win32/TrojanDownloader.Delf.NMM 木马        已隔离 - 已删除        HAPPY-4E82919D8\Happy Star        程序新建文件时发生事件: C:\Program Files\Internet Explorer\IEXPLORE.EXE. 文件已被移入隔离区。你可以关闭本窗口。
2006-8-29 21:17:17        AMON        文件        C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\668JG7AQ\QIDONG[1].EXE        Win32/TrojanDownloader.Delf.NMM 木马        已删除                尝试访问文件时发生事件。
2006-8-29 21:17:16        IMON        文件        http://xxx.com/d/ms32.exe        a variant of Win32/TrojanDownloader.Delf.NHL 木马                HAPPY-4E82919D8\Happy Star       
2006-8-29 21:14:45        IMON        文件        http://xxx.virussky.com/qidong.exe        Win32/TrojanDownloader.Delf.NMM 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 21:14:40        AMON        文件        C:\DOCUME~1\HAPPYS~1\LOCALS~1\Temp\an85.com        Win32/TrojanDownloader.Delf.NMM 木马        已隔离 - 已删除        HAPPY-4E82919D8\Happy Star        程序新建文件时发生事件: C:\Program Files\Internet Explorer\IEXPLORE.EXE. 文件已被移入隔离区。你可以关闭本窗口。
2006-8-29 21:14:36        AMON        文件        C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\K22756WQ\QIDONG[1].EXE        Win32/TrojanDownloader.Delf.NMM 木马        已删除                尝试访问文件时发生事件。
2006-8-29 21:14:22        IMON        文件        http://xxx.virussky.com/qidong.exe        Win32/TrojanDownloader.Delf.NMM 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 21:13:51        IMON        文件        http://xxx.virussky.com/qidong.exe        Win32/TrojanDownloader.Delf.NMM 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 21:13:42        AMON        文件        C:\DOCUME~1\HAPPYS~1\LOCALS~1\Temp\an85.com        Win32/TrojanDownloader.Delf.NMM 木马        已隔离 - 已删除        HAPPY-4E82919D8\Happy Star        程序新建文件时发生事件: C:\Program Files\Internet Explorer\IEXPLORE.EXE. 文件已被移入隔离区。你可以关闭本窗口。
2006-8-29 21:13:35        AMON        文件        C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\K22756WQ\QIDONG[1].EXE        Win32/TrojanDownloader.Delf.NMM 木马                        在新建立的文件上发生事件。 文件已被移入隔离区。你可以关闭本窗口。
2006-8-29 21:13:25        IMON        文件        http://xxx.virussky.com/qidong.exe        Win32/TrojanDownloader.Delf.NMM 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 18:47:47        AMON        文件        C:\Documents and Settings\Happy Star\Local Settings\Temporary Internet Files\Content.IE5\668JG7AQ\qidong[1].exe        Win32/TrojanDownloader.Delf.NMM 木马        已隔离 - 已删除        HAPPY-4E82919D8\Happy Star        程序新建文件时发生事件: C:\Program Files\Internet Explorer\IEXPLORE.EXE. 文件已被移入隔离区。你可以关闭本窗口。
2006-8-29 18:47:43        AMON        文件        C:\DOCUME~1\HAPPYS~1\LOCALS~1\Temp\an85.com        Win32/TrojanDownloader.Delf.NMM 木马        已隔离 - 已删除        HAPPY-4E82919D8\Happy Star        程序新建文件时发生事件: C:\Program Files\Internet Explorer\IEXPLORE.EXE. 文件已被移入隔离区。你可以关闭本窗口。
2006-8-29 18:47:35        AMON        文件        C:\Documents and Settings\Happy Star\Local Settings\Temporary Internet Files\Content.IE5\K22756WQ\qidong[1].exe        Win32/TrojanDownloader.Delf.NMM 木马        已隔离 - 已删除        HAPPY-4E82919D8\Happy Star        程序新建文件时发生事件: C:\Program Files\Internet Explorer\IEXPLORE.EXE. 文件已被移入隔离区。你可以关闭本窗口。
2006-8-29 18:47:20        IMON        文件        http://x.virussky.com/qidong.exe        Win32/TrojanDownloader.Delf.NMM 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 18:46:49        IMON        文件        http://xxx.virussky.com/qidong.exe        Win32/TrojanDownloader.Delf.NMM 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 18:46:46        IMON        文件        http://xxx.virussky.com/qidong.exe        Win32/TrojanDownloader.Delf.NMM 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 18:46:40        IMON        文件        http://dxxx.virussky.com/qidong.exe        Win32/TrojanDownloader.Delf.NMM 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 18:46:33        AMON        文件        C:\Documents and Settings\Happy Star\Local Settings\Temporary Internet Files\Content.IE5\YUCR18SK\qidong[1].exe        Win32/TrojanDownloader.Delf.NMM 木马        已隔离 - 已删除        HAPPY-4E82919D8\Happy Star        程序新建文件时发生事件: C:\Program Files\Internet Explorer\IEXPLORE.EXE. 文件已被移入隔离区。你可以关闭本窗口。
2006-8-29 18:41:12        IMON        文件        http://down.xxx.com/qidong.exe        未查明的 NewHeur_PE 病毒                HAPPY-4E82919D8\Happy Star       
2006-8-29 18:41:05        IMON        文件        http://down.xxxx.com/qidong.exe        未查明的 NewHeur_PE 病毒                HAPPY-4E82919D8\Happy Star       
2006-8-29 18:41:01        IMON        文件        http://down.xxx.com/qidong.exe        未查明的 NewHeur_PE 病毒                HAPPY-4E82919D8\Happy Star       
2006-8-29 18:40:57        IMON        文件        http://down.xxx.com/qidong.exe        未查明的 NewHeur_PE 病毒                HAPPY-4E82919D8\Happy Star       
2006-8-29 18:40:50        IMON        文件        http://down.xxx.com/qidong.exe        未查明的 NewHeur_PE 病毒                HAPPY-4E82919D8\Happy Star       
2006-8-29 18:37:14        IMON        文件        http://www.xxx.com/j8lm.exe        Win32/Agent.NCT 木马        联机中止        HAPPY-4E82919D8\Happy Star       
2006-8-29 18:37:07        IMON        文件        http://down.xxx.com/qidong.exe        未查明的 NewHeur_PE 病毒                HAPPY-4E82919D8\Happy Star       
2006-8-29 18:31:34        IMON        文件        http://afied.xxx/d/ms32.exe        a variant of Win32/TrojanDownloader.Delf.NHL 木马                HAPPY-4E82919D8\Happy Star

[ Last edited by happy_star on 2006-8-30 at 08:05 ]
附件 1: NOD32发现病毒.JPG (2006-8-29 21:20, 56.51 K,下载次数: 52)


作者: happy_star     时间: 2006-8-29 21:27
对不起,上面是日志,我没注意里面的病毒链接,请大家千万不要点上面的毒链,千万,对不起啦,请版主将链接屏蔽掉,防止有人中毒,因为微点防不住。

已经修改链接。

[ Last edited by happy_star on 2006-8-29 at 21:58 ]
作者: 中国操作系统     时间: 2006-8-29 21:35    标题: 楼主你请看!!!!!!

附件 1: Image00002.JPG (2006-8-29 21:35, 19.61 K,下载次数: 64)


作者: 中国操作系统     时间: 2006-8-29 21:37    标题: 接着看!!!!!

附件 1: Image00001.JPG (2006-8-29 21:37, 18.38 K,下载次数: 58)


作者: 中国操作系统     时间: 2006-8-29 21:38    标题: 还看看!!!!!!

附件 1: Image00000.JPG (2006-8-29 21:38, 19.11 K,下载次数: 69)


作者: 中国操作系统     时间: 2006-8-29 21:41    标题: 防不住?!

这下没话说了吧!要不要再发图了。还有多少病毒链接,一起贴出来!
作者: happy_star     时间: 2006-8-29 21:42
那是怎么回事?难道??:是微点还没来得及发现,被NOD32抢先删除了?还是什么原因?版主能介绍一下吗?
作者: 中国操作系统     时间: 2006-8-29 21:51
你的微点是不是设置成自动处理或静默杀毒了。我在另一贴里有说过。
作者: happy_star     时间: 2006-8-29 21:51
毒链被我重新编辑过了,没有了。
作者: happy_star     时间: 2006-8-29 21:53


  Quote:
Originally posted by 中国操作系统 at 2006-8-29 21:51:
你的微点是不是设置成自动处理或静默杀毒了。我在另一贴里有说过。

这个 没注意,是默认设置,我看了一下所有的日志,是空的,什么都没有。

顺便说一下,第一次发现病毒是没装微点(因死机,等更新版本),仅有NOD32,是在网上看NOD32的设置教程,一个网页有毒,心里害怕,于是又安装了微点,更新时发现原来微点的版本已经更新了,重启也正常,打IE,GOOGLE等均正常,但没想到后来输入“baidu.com",又发现相同病毒(这是百度主页,当然没病毒,我没输WWW,应该是一样的),且微点没反应,我想问一下,是不是我的系统中还有病毒没杀干净?大家看一下我的日志就会发现时间差的,我打开百度怎么会出现毒呢?请高手指教,谢谢!

[ Last edited by happy_star on 2006-8-29 at 22:04 ]
作者: 中国操作系统     时间: 2006-8-29 22:03
没有重装或清空过日志吧?
作者: happy_star     时间: 2006-8-29 22:05


  Quote:
Originally posted by 中国操作系统 at 2006-8-29 22:03:
没有重装或清空过日志吧?

当然没有,请看一下我上一回复(我重新编辑了一下)在10楼
看见没?第一次中毒时间在18点40分左右,第二次,即已经安装并更新了最新版本的微点,中毒时间在21点十几分。

[ Last edited by happy_star on 2006-8-29 at 22:09 ]
作者: 中国操作系统     时间: 2006-8-29 22:14
我试了一下baidu.com并没有病毒,至于到底是怎么回事我也说不清,个人具体的使用情况都不一样。问你一下,你的帖子怎么不一下子出来,先是出几行,过了一会再出几行。哎!高手们,过来给解释一下吧!
作者: happy_star     时间: 2006-8-29 22:16
我想一下就写一下啦,我睡觉了,明天再看贴
作者: happy_star     时间: 2006-8-30 08:03
怎么没高手帮我解释一下呢!晕~
作者: ballpointpen     时间: 2006-8-30 10:03
静态特征码扫描在先,所以NOD32先发现病毒文件(此时,无任何行为)并杀掉。由于病毒文件在有任何动作之前已经被NOD32杀掉,微点当然也就无事可干了。
作者: master     时间: 2006-8-30 10:07


  Quote:
Originally posted by happy_star at 2006-8-29 09:53 PM:


这个 没注意,是默认设置,我看了一下所有的日志,是空的,什么都没有。

顺便说一下,第一次发现病毒是没装微点(因死机,等更新版本),仅有NOD32,是在网上看NOD32的设置教程,一个网页有毒,心里害怕, ...

看看drivers/etc/hosts是不是被修改了?
作者: happy_star     时间: 2006-8-30 10:18


  Quote:
Originally posted by ballpointpen at 2006-8-30 10:03:
静态特征码扫描在先,所以NOD32先发现病毒文件(此时,无任何行为)并杀掉。由于病毒文件在有任何动作之前已经被NOD32杀掉,微点当然也就无事可干了。

谢谢,但还有疑问,就是我系统中的木马自动链接去下载病毒,这个总是发作了吧?另外,3楼的朋友去看了下,他可以杀的。
17楼说的等我下班晚上去看一下改了没

[ Last edited by happy_star on 2006-8-30 at 10:20 ]
作者: ballpointpen     时间: 2006-8-30 10:32
#3楼的朋友可能只装微点,至少没有装nod32。由于病毒有机会动作了,因此他(她)的微点有了展示才华的机会。

[ Last edited by ballpointpen on 2006-8-30 at 10:40 ]
作者: 中国操作系统     时间: 2006-8-30 11:37


  Quote:
Originally posted by ballpointpen at 2006-8-30 10:32:
#3楼的朋友可能只装微点,至少没有装nod32。由于病毒有机会动作了,因此他(她)的微点有了展示才华的机会。

[ Last edited by ballpointpen on 2006-8-30 at 10:40 ]

这至少也推翻了楼主说的“微点防不住”的论点。
作者: happy_star     时间: 2006-8-30 13:05


  Quote:
Originally posted by 中国操作系统 at 2006-8-30 11:37:

这至少也推翻了楼主说的“微点防不住”的论点。

这个我当然承认,当#3楼发图片的时候我就承认了,我发贴是因为我的没发现,所以才那样说。
还是那句话,病毒从我的电脑自动链接到病毒网站,微点是主动防御的,根据行为来判断的,但他没发现,你再仔细看一下,NOD32是在这个之后,即已经从网下载了病毒(qingdong.exe等),发现这些文件是病毒的,即微点起码应该阻止木马病毒从网上再下载病毒的!这是典型的病毒行为。
作者: adw2000     时间: 2006-8-30 13:24
这个是这样的,我装的是dr。web和微点,能够识别出来的是dr。web先处理,上网总是要有一些文件下载下来的,ie的缓存就是这样的。每下载一个文件dr。web就会扫描,dr。web带有病毒库,如果识别出来就处理了,而微点是等这个文件有动作了,比如修改系统里面的东西才会有处理动作。这个是识别机制不同造成处理动作有先后,但是结果是一样的。结果是都能处理就好拉。。。^_^
作者: adw2000     时间: 2006-8-30 13:28
另外使用一些ie的修复工具,和系统扫描工具看看,自己的ie首页,host等等有没有被修改
作者: happy_star     时间: 2006-8-30 13:51
IE 首页没改,HOSTS 晚上回去查一下。
楼上说的是有道理,我只是觉得,第二次中毒,即装了微点后,我并没去什么异常网站,也没下载到病毒,在打开百度时,突然链接到病毒网站并下载到病毒(和第一次一模一样),至少说明,我的电脑里有病毒,NOD32没杀干净,另外,当病毒链接到网站上下载病毒时,即病毒发作时,微点没有发现,当病毒下载到缓存中之后,NOD32发现了。分析一下我提供的病毒日志就知道的。
作者: Legend     时间: 2006-8-30 13:55
请您把这个病毒网站的网址发到virus@micropoint.com.cn,我们具体测试分析下
作者: happy_star     时间: 2006-8-30 14:11


  Quote:
Originally posted by Legend at 2006-8-30 13:55:
请您把这个病毒网站的网址发到virus@micropoint.com.cn,我们具体测试分析下

好的,等晚上下班用家里的电脑再试一下,只是不一定还能找到那个网址了,我当时是搜索的,不过版主应该可以从我的日志里看出点东西的。
我找那个网址就发过去,请测试一下。
对了,那个东西在我的TEMP文件夹下生成一个叫theopen.exe的程序。用NOD32还查不出病毒,可惜被我后来删除了。

[ Last edited by happy_star on 2006-8-30 at 14:13 ]
作者: 反黑先锋     时间: 2006-8-30 18:22


  Quote:
Originally posted by happy_star at 2006-8-29 21:20:
但微点没任何反应,病毒是木马,自动链接网上下载一个叫qidong.exe的东西,NOD32发现病毒并删除

百度昨天是有毒  

把NOD32删了 用微点试试:D
作者: happy_star     时间: 2006-8-30 19:23
我今晚一开机上网就有病毒,NOD32和昨天一样,不同的是今天微点有了点反应,但没NOD32强烈,病毒在我的电脑里生成了许多文件(我自己查出来的),已经发送到版主说的邮箱,包括病毒日志。
看看日志吧(木马日志),(和1楼的NOD32对比一下)
时间        处理结果        木马名称        木马进程名        木马文件创建者
2006-08-30 19:02:26        处理成功        未知间谍软件        C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMP\MOI.COM        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2006-08-30 18:56:29        处理成功        未知间谍软件        C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\SYSTEM.SYS        C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMP\MOI.COM
2006-08-30 18:56:29        处理成功        未知间谍软件        C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\SYSTEM.JMP        C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMP\MOI.COM
2006-08-30 18:56:29        处理成功        未知间谍软件        C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMP\MOI.COM        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

还有个异常网络日志,如下(有好多好多,都一样的,我只放两排):
时间        进程名        路径及参数        源IP        源端口        目的IP        目的端口        操作
2006-08-30 19:07:34        8888.EXE        C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMP\8888.EXE        0.0.0.0        1553        221.228.255.1        53        阻断
2006-08-30 19:07:33        8888.EXE        C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMP\8888.EXE        0.0.0.0        1553        218.2.135.1        53        阻断
作者: happy_star     时间: 2006-8-30 19:27
不知大家发现没有,微点发现的东西和NOD32发现的不一样哎。
另外,我昨天在TEMP里的文件全部清空了,也就是说微点发现的东西全是今天生出来的。
不知原始病毒在哪里,我估计还会发作。

[ Last edited by happy_star on 2006-8-30 at 19:29 ]
作者: ballpointpen     时间: 2006-8-30 21:55


  Quote:
Originally posted by happy_star at 2006-8-30 19:27:
微点发现的东西和NOD32发现的不一样哎。
[ Last edited by ha ...

NOD32拦截清除的那些病毒(木马),微点是否也都能拦截清除?我没有测试,故不能妄下结论;
但微点能拦截清除的这部分,是NOD32没能发现的。

[ Last edited by ballpointpen on 2006-8-30 at 23:25 ]
作者: 中国操作系统     时间: 2006-8-31 01:09


  Quote:
Originally posted by ballpointpen at 2006-8-30 21:55:

NOD32拦截清除的那些病毒(木马),微点是否也都能拦截清除?我没有测试,故不能妄下结论;
但微点能拦截清除的这部分,是NOD32没能发现的。

[ Last edited by ballpointpen on 2006-8-30 at 23:25 ]

好帖子!眼睛挺毒地!厉害!!!!!!!!
作者: happy_star     时间: 2006-8-31 09:16
我把网址发邮箱了,(如果没记错的话,就是那个网址)

[ Last edited by happy_star on 2006-8-31 at 09:19 ]
作者: aidi     时间: 2006-8-31 11:54    标题: 分析原因

楼主的情况可能是因为中了一个恶意的程序,他只去修改了hosts文件;
而hosts文件里的那个网址是个病毒网站的网址,只要被索引到那个网址就是在登录网站时自动下载MOI.COM这个文件,放到C:\DOCUMENTS AND SETTINGS\HAPPY STAR\LOCAL SETTINGS\TEMP\目录下,然后这个文件又去生成C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\SYSTEM.SYS和C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\SYSTEM.JMP;至于为什么与上次报的不同,是因为网站做了内容的调整,变幻了自身的文件,所以微点这次报警与上次nod32不同,上次nod32报警可能是因为那些文件虽然已经下载到本地,但微点是依据行为判断的,而nod32是特征值扫描的,所以被nod32报警了,而微点没有反应,那些程序还没有做出有害的行为,至于剩余一个文件没有报,应该是不在nod32的特征库中,而且这个程序失去了运行的条件,微点同样也不会报警;
作者: xmwung     时间: 2006-8-31 15:42
我的同样有这个问题,  病毒每次发作,  微点有时候有反映 有时候没有反映
作者: xmwung     时间: 2006-8-31 15:45
至今病毒出现过至少4-5次左右,微点报过一次,并且删除病毒! 木马日知 中有记录  ,但是后来病毒还会有,但是 微点没反应
作者: 一个人的旅行     时间: 2006-8-31 15:57
请问你如何知道病毒出现了四五次,从你的描述来看不知装了微点还装了其他的杀毒软件吧!
建议搂主停掉其他杀软再测试一下,毕竟微点不同于传统沙软,它的防病毒原理跟特征值扫描有很大的区别。
作者: happy_star     时间: 2006-8-31 16:05


  Quote:
Originally posted by aidi at 2006-8-31 11:54:
楼主的情况可能是因为中了一个恶意的程序,他只去修改了hosts文件;
而hosts文件里的那个网址是个病毒网站的网址,只要被索引到那个网址就是在登录网站时自动下载MOI.COM这个文件,放到C:\DOCUMENTS AND SETTINGS ...

我昨天看了,HOSTS是变了,但并没有指向病毒链接。
另,第二天晚上中毒时,微点发现了,NOD32也发现了,NOD32的内容和前天一样(1楼发的),应该网站没变。
至于微点为什么第一天没报,第二天报了,就不清楚了,我已经将信息发信箱,等看他们的分析吧。
顺便说一下,里面的那个8888.exe是绝对病毒。我指针指向它时显示什么中国宏网,我想看一下属性,结果被杀毒软件删除了。该文件我已经发给微点信箱了。

[ Last edited by happy_star on 2006-8-31 at 16:07 ]
作者: xmwung     时间: 2006-8-31 16:12
我的 ie 标题 主页等等都正常。 我安装的 瑞星 微点。刚刚试了一次 ,停掉瑞星 问题依旧!!!!

上网 输入 网址后, 会 很慢,而且 状态栏  显示  正在打开网页 : http://59.34.197.239/theopenm.asp  .....

然后 会 下载 文件  theopen.exe 到 系统目录下  temp 下, 在这整个过程中,微点一直开着 ,瑞星停掉,但是一直没报!!
作者: xmwung     时间: 2006-8-31 16:15
病毒出现很明显,正如以上所述,而且会不停的打开  百度 主页!!测试 好像每次输入 baidu.com 即会下在 theopen.exe !!
作者: xmwung     时间: 2006-8-31 16:42
怎么没人回答呢
急呀
作者: 中国操作系统     时间: 2006-8-31 19:12


  Quote:
Originally posted by happy_star at 2006-8-31 09:16:
我把网址发邮箱了,(如果没记错的话,就是那个网址)

[ Last edited by happy_star on 2006-8-31 at 09:19 ]

能不能把那个网址也发到我邮箱!
作者: 中国操作系统     时间: 2006-8-31 19:26


  Quote:
Originally posted by xmwung at 2006-8-31 16:15:
病毒出现很明显,正如以上所述,而且会不停的打开  百度 主页!!测试 好像每次输入 baidu.com 即会下在 theopen.exe !!

我怎么没有出现你说的这种情况?
作者: xmwung     时间: 2006-8-31 22:15
你没中那病毒当然不会
作者: xmwung     时间: 2006-8-31 22:16
你如果要那病毒我给你,我的机器上想要那个病毒很容易
作者: happy_star     时间: 2006-9-1 07:57


  Quote:
Originally posted by xmwung at 2006-8-31 16:15:
病毒出现很明显,正如以上所述,而且会不停的打开  百度 主页!!测试 好像每次输入 baidu.com 即会下在 theopen.exe !!

我点没错,我当时发作时也是一直不停地打开,NOD32连着关约7、8个窗口后好象才没有了。
一直重复那个动作。
我的里面也有theopen.exe的东西,还有别的,见上面的日志。
作者: happy_star     时间: 2006-9-1 09:27


  Quote:
Originally posted by 中国操作系统 at 2006-8-31 19:12:

能不能把那个网址也发到我邮箱!

你的邮箱是什么?
网址如下,是关于NOD32的设置的
http://www.onegreen.net/Article_Show.asp?ArticleID=478
请不要随意点击,不知道还有没有病毒。
(另,我印象中是这个网址)
作者: 中国操作系统     时间: 2006-9-1 12:06


  Quote:
Originally posted by happy_star at 2006-9-1 09:27:


你的邮箱是什么?
网址如下,是关于NOD32的设置的
http://www.onegreen.net/Article_Show.asp?ArticleID=478
请不要随意点击,不知道还有没有病毒。
(另,我印象中是这个网址)

好难看的网页,居然半天才能完全打开,不过我没中毒。谢谢提供链接。

[ Last edited by 中国操作系统 on 2006-9-1 at 12:11 ]
作者: 中国操作系统     时间: 2006-9-1 12:13


  Quote:
Originally posted by xmwung at 2006-8-31 22:16:
你如果要那病毒我给你,我的机器上想要那个病毒很容易

把病毒样本发到我邮箱吧!点击我的帖子下面“资料”二字可见地址。
作者: happy_star     时间: 2006-9-1 12:20


  Quote:
Originally posted by 中国操作系统 at 2006-9-1 12:13:

把病毒样本发到我邮箱吧!点击我的帖子下面“资料”二字可见地址。

真是非常对不起了,我的系统已经重装了,没有样本啦
不过你看上面有一位中了和我一样的毒(下载什么theopen.exe的东西的那个)
他说有的。(44楼的朋友)

[ Last edited by happy_star on 2006-9-1 at 12:22 ]
作者: happy_star     时间: 2006-9-1 12:30


  Quote:
Originally posted by 中国操作系统 at 2006-9-1 12:13:

把病毒样本发到我邮箱吧!点击我的帖子下面“资料”二字可见地址。

发了,我在GAMIL的服务器上有备份,你看一下吧,祝你好运!
;)
作者: xmwung     时间: 2006-9-1 14:38
那个病毒 我已发给了 virus@micropoint.... 邮箱
作者: xmwung     时间: 2006-9-1 15:04
[img]

  Quote:
Originally posted by 中国操作系统 at 2006-9-1 12:13:

把病毒样本发到我邮箱吧!点击我的帖子下面“资料”二字可见地址。

昨晚就把病毒样本发到 virus@.... 里了 ,刚才看看 发送失败了,,,,

如果没错,下面这个就是病毒其中的一个文件

URL:  http://59.34.197.195/theopen.exe

具体该病毒涉及到多少文件,我也不清楚。

从微点的记录来看 ,上述文件有可能和以下几个文件协同作用:

..\internet explorers\plugins\system.sys
..\internet explorers\plugins\system.jmp


...\temp\moi.com

..\boot.exe

ms32[1].exe

希望上述信息能有帮助
,已截图,看附件
因为[/img]
附件 1: snap.jpg (2006-9-1 15:04, 49.92 K,下载次数: 38)


作者: xmwung     时间: 2006-9-1 15:09
补充一下:  
为了清除病毒, 我特地装了  木马杀客,升级到最新,查杀没反应
用最新版正版瑞星查杀 theopen.exe 也无反应

还用最新病毒库  得  ewido 查杀 theopen.exe,仍还无反应
作者: happy_star     时间: 2006-9-1 15:11
你中的毒和我一样,你是怎么中的?
作者: xmwung     时间: 2006-9-1 15:15
报告新情况:

刚刚看了 windows\temp\ 下面不仅有 theopen.exe 现在多了一个 killme.bat

不知那病毒还要搞多少东西过来 nd
作者: happy_star     时间: 2006-9-1 15:17


  Quote:
Originally posted by xmwung at 2006-9-1 15:15:
报告新情况:

刚刚看了 windows\temp\ 下面不仅有 theopen.exe 现在多了一个 killme.bat

不知那病毒还要搞多少东西过来 nd

知道,那是个批处理文件,里面是许多行
del theopen.exe
del theopen.exe
即删除这个破东西。
你到底是怎么中的?怎么中的和我一样?
作者: xmwung     时间: 2006-9-1 15:39
对 那个 killme.bat 和你一样。。。哈哈。。。 也不孤单。。。

我也不知道,每天上的网站都挺多的,也不知道什么时候中的,不过每上过yellow 网站哦

怀疑要么上 绿色软件联盟 要么上 softhouse (软件屋) 中的,  仅仅只是猜测,不能确定
作者: happy_star     时间: 2006-9-1 15:43
我倒不会乱上网的。是无意中中毒的。
我本来以为你看了我的日志,仿着日志里的链接去中的呢。
我们中的毒真的是一样一样的。
你装微点和别的什么软件了吗?
作者: happy_star     时间: 2006-9-1 15:44
而且我后来也是上baidu.com发作的,真奇怪。
但#3楼却能发现我中的那些东西,也怪。

[ Last edited by happy_star on 2006-9-1 at 15:53 ]
作者: happy_star     时间: 2006-9-1 15:53
该不会是什么最新的病毒吧?
作者: 中国操作系统     时间: 2006-9-1 18:53
谢谢,我已收到。我测试了一下,微点确实只能报其中的两个。而对counter.exe和   an85.com    killme.bat批处理文件不报。卡巴5一个都没报。

[ Last edited by 中国操作系统 on 2006-9-1 at 21:53 ]
作者: 中国操作系统     时间: 2006-9-1 20:09
哎!不知怎么邮件和我保存的病毒样本没了,难道被我删除了,麻烦楼主再发一次,我不胜感激。
作者: 反黑先锋     时间: 2006-9-1 20:26


  Quote:
Originally posted by 中国操作系统 at 2006-9-1 20:09:
哎!不知怎么邮件和我保存的病毒样本没了,难道被我删除了,麻烦楼主再发一次,我不胜感激。

方便请给我一份
作者: happy_star     时间: 2006-9-1 21:20
已发,63楼无邮箱
作者: 中国操作系统     时间: 2006-9-1 21:29


  Quote:
Originally posted by happy_star at 2006-9-1 21:20:
已发,63楼无邮箱

谢谢!
作者: 反黑先锋     时间: 2006-9-1 21:30


  Quote:
Originally posted by happy_star at 2006-9-1 21:20:
已发,63楼无邮箱

我马上发站内短信给你:lol: o~ 病毒样本我喜欢
作者: 中国操作系统     时间: 2006-9-1 21:50
重新运行了压缩包里的病毒,微点除了那个批处理和an85.com(打开是一堆乱码)不报,(恐本身不是病毒)其他三个都报,而且成功拦截,与第一次测试的结果不一样,第一次病毒运行了,但没有你在帖子里说得那么厉害,它打开了baidu.com这个链接。
作者: 我     时间: 2006-9-1 21:56


  Quote:
Originally posted by 中国操作系统 at 2006-9-1 21:50:
重新运行了压缩包里的病毒,微点除了那个批处理和an85.com(打开是一堆乱码)不报,(恐本身不是病毒)其他三个都报,而且成功拦截,与第一次测试的结果不一样,第一次病毒运行了,但没有你在帖子里说得那么厉害, ...

晕啊 发给我测测!  庐山神龙霸!!!!
作者: 中国操作系统     时间: 2006-9-1 21:58
楼主可惜我没有发附件的权利了,不然就把图片发出来让你看看。
作者: 中国操作系统     时间: 2006-9-1 22:07


  Quote:
Originally posted by at 2006-9-1 21:56:



晕啊 发给我测测!  庐山神龙霸!!!!

你的邮箱是?
作者: happy_star     时间: 2006-9-2 07:35


  Quote:
Originally posted by 反黑先锋 at 2006-9-1 21:30:



我马上发站内短信给你:lol: o~ 病毒样本我喜欢

发了
作者: happy_star     时间: 2006-9-2 07:39


  Quote:
Originally posted by 中国操作系统 at 2006-9-1 21:50:
重新运行了压缩包里的病毒,微点除了那个批处理和an85.com(打开是一堆乱码)不报,(恐本身不是病毒)其他三个都报,而且成功拦截,与第一次测试的结果不一样,第一次病毒运行了,但没有你在帖子里说得那么厉害, ...

里面的那个      8888.exe 绝对是病毒,是什么中国宏网的东西.
我的电脑发作时确实很厉害,和前面一位中了和我一样的毒的朋友一样.
NOD32连杀了约7   8次,打开了 7   8个窗口,但因为被拦住了,没打开,且每口窗口都有错误提示.
那个8888.exe则自动链接网络.
反正是木马,自动下载病毒的木马.
而且baidu.com按理不会有病毒吧?
怎么自动往那里链接呢?
有问题.
作者: syw120     时间: 2006-9-2 09:02
???
作者: 反黑先锋     时间: 2006-9-2 09:07


  Quote:
Originally posted by happy_star at 2006-9-2 07:35:

发了

没收到~;)
作者: happy_star     时间: 2006-9-2 11:21


  Quote:
Originally posted by 反黑先锋 at 2006-9-2 09:07:


没收到~;)

又发了
:cool:
作者: 反黑先锋     时间: 2006-9-2 12:05


  Quote:
Originally posted by happy_star at 2006-9-2 11:21:


又发了
:cool:

作者: happy_star     时间: 2006-9-2 13:09


  Quote:
Originally posted by 反黑先锋 at 2006-9-2 12:05:




不会吧?
你的邮箱有反病毒功能 吗?
我肯定发了,一定不会错的。
你是用WEB方式收的吗?会不会把我的信自动列为垃圾邮件?
作者: xmwung     时间: 2006-9-2 20:46
这个病毒还没解决吗?

楼主,你的病毒解决了吗?  解决了通知下哦! 烦阿

还不知道那个病毒究竟干了些什么
作者: xmwung     时间: 2006-9-2 20:48
今天又发现,打开 www.google.com 时,反映和 打开 baidu.com 差不多! 同样发作 ,楼主 打开 www.google.com 时 怎么样?
作者: 反黑先锋     时间: 2006-9-2 21:24


  Quote:
Originally posted by happy_star at 2006-9-2 13:09:


不会吧?
你的邮箱有反病毒功能 吗?
我肯定发了,一定不会错的。
你是用WEB方式收的吗?会不会把我的信自动列为垃圾邮件?

是不是名字很长的…… 被删掉了:D
作者: happy_star     时间: 2006-9-2 21:28


  Quote:
Originally posted by xmwung at 2006-9-2 20:48:
今天又发现,打开 www.google.com 时,反映和 打开 baidu.com 差不多! 同样发作 ,楼主 打开 www.google.com 时 怎么样?

我后来正常了。
病毒一定还在你的电脑里面呢,当你打开网页时,你看一下IE的左下角的信息,你明明输入的是GOOGLE,但已经链接至病毒网页了。
作者: happy_star     时间: 2006-9-2 21:39


  Quote:
Originally posted by 反黑先锋 at 2006-9-2 21:24:


是不是名字很长的…… 被删掉了:D

又发了,请查收。
另,微点给我回复了,说全能杀,还有图。
作者: 中国操作系统     时间: 2006-9-2 21:45
能不能把图发上来呀!我看看和我的测试是不是一样。
作者: a1a1a1     时间: 2006-9-2 23:30
我也是这个问题,不知道哪位能帮忙解决,谢谢
作者: happy_star     时间: 2006-9-3 16:56


  Quote:
Originally posted by 中国操作系统 at 2006-9-2 21:45:
能不能把图发上来呀!我看看和我的测试是不是一样。

可以,他的原话是:您上报的几个样本,微点都报警了(见附件截图),其中system.jmp和system.sys是moi.com的衍生物

图:
附件 1: 8888.exe1.jpg (2006-9-3 16:56, 27.22 K,下载次数: 38)


作者: happy_star     时间: 2006-9-3 16:56


  Quote:
Originally posted by 中国操作系统 at 2006-9-2 21:45:
能不能把图发上来呀!我看看和我的测试是不是一样。

附件 1: 8888.exe2.jpg (2006-9-3 16:56, 25.64 K,下载次数: 14)


作者: happy_star     时间: 2006-9-3 16:57


  Quote:
Originally posted by 中国操作系统 at 2006-9-2 21:45:
能不能把图发上来呀!我看看和我的测试是不是一样。

附件 1: an85.com.jpg (2006-9-3 16:57, 15.31 K,下载次数: 45)


作者: happy_star     时间: 2006-9-3 16:57


  Quote:
Originally posted by 中国操作系统 at 2006-9-2 21:45:
能不能把图发上来呀!我看看和我的测试是不是一样。

附件 1: counter.exe.jpg (2006-9-3 16:57, 27.31 K,下载次数: 43)


作者: happy_star     时间: 2006-9-3 16:57


  Quote:
Originally posted by 中国操作系统 at 2006-9-2 21:45:
能不能把图发上来呀!我看看和我的测试是不是一样。

附件 1: moi.com.jpg (2006-9-3 16:57, 27.46 K,下载次数: 43)


作者: happy_star     时间: 2006-9-3 16:58


  Quote:
Originally posted by happy_star at 2006-9-2 21:39:


又发了,请查收。
另,微点给我回复了,说全能杀,还有图。

附件不好发了。还有一个theopen.exe的
作者: 秋心     时间: 2006-9-4 15:30    标题: 我也中毒了!!

作者: 秋心     时间: 2006-9-4 15:31
到底怎么杀啊   能说一下吗   我只装了nod32
作者: happy_star     时间: 2006-9-4 16:12


  Quote:
Originally posted by 秋心 at 2006-9-4 15:31:
到底怎么杀啊   能说一下吗   我只装了nod32

装微点,当它发作时就杀了。
作者: 温柔的倾诉     时间: 2006-9-9 12:00
本人昨晚也有幸中此病毒,折腾半夜
据本人分析,中此木马,一上网(特别是baidu)就会自动指向另一ip
下载一病毒压缩包,自动安装后会在temp里生成一个killme.bat文件,达到毁尸灭迹之目的。
提供一点清除方法:进安全模式,打开c:\windows\system32\drivers\etc\,再用写字板打开hosts,发现一堆东西,正常的hosts只有127.0.0.1此串值是正常的,先全部删掉,再删掉temp中所有东西,临时文件夹中所有东西,特别注意那个ie5文件夹中的东西要删干净,再到c:\windows\目录下,按修改时间排列,发现一堆新东西,删之,同理删掉c:\windows\system32\下新增的东西,最后进regedit,搜索进程中发现的病毒进程名,全干掉,世界基本清净了。最后用超级免子恢复一下即可。
c:\根目录下,boot.ini文件也被改,还没详细分析,稍后再来

[ Last edited by 温柔的倾诉 on 2006-9-9 at 12:05 ]
作者: ybx23     时间: 2006-9-15 23:45
怎么还是没拦住,我也中了楼上说了,而且是和朋友打赌,我说微点能防住,结果也中了,
作者: iyangliang     时间: 2006-9-18 23:44
别的不想说了。。
我就是想真心谢谢94楼的兄弟,我也是无意中,在百度搜东西,乱点连接中的病毒,而且中毒的时候,感觉到是中毒了,因为IE很慢,硬盘一直在响,打开任务管理器发现有SETUP。EXE文件在运行,当时本想按重起,后来对自己过于自信,所以想看看中毒以后是啥样。结果中招了。怎么删都不行。刚开始是每次开机,任务管理器都自动打开8个IEXPLORER。EXE,每次打开时,系统都很慢,但是8个打开以后就没事了。而且,一上网,尤其是上新浪,百度,或者搜狐,就自动到病毒网站,很是郁闷。
刚刚按照94楼的帖子,修改了一下,确实现在上网没事了,真的很是感谢你。好同志。我把我QQ留给你,70136407,有时间加我一下,好好聊聊。最后,再一次向你表示感谢。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn