微点交流论坛 - 微点主动防御软件 - 微点测出2007珊瑚虫QQ有木马

微点交流论坛 » 微点主动防御软件 » 微点测出2007珊瑚虫QQ有木马

1/2

六月十四
新手上路

积分 28
发帖 28
注册 2007-2-2

#1 微点测出2007珊瑚虫QQ有木马

下载页面
http://bbs.coralqq.com/thread-282871-1-1.html

能否请微点测试一下，是误报，还是真有木马

珊瑚虫IPQQ2007.exe，是用BT下载，网页有MD5码，核对后安装，开始只安装基本功能，搜索栏和QQ的什么3D秀，音乐，网络硬盘之类一概没装，装好就报有木马，

再安装一次，完全安装，会多一个YOK文件夹，IE多了搜索栏，里面也有木马，而且删除珊瑚虫QQ时，搜索栏还是留在IE上

对其他所有的非官方QQ版本都不相信，几年来只是相信珊瑚虫，这次如果是真的，那几年来的信任就完全倒塌了

现在已经不敢再用珊瑚虫

试了一早上了，又装又卸，又还原

下面是一些报警的信息：
木马名称:未知木马

程序:
C:\WINDOWS\SYSTEM32\DRIVERS\TYKEEPER.SYS
是木马程序!
已成功阻止其运行,是否要删除此文件?

程序:
C:\WINDOWS\SYSTEM32\DRIVERS\TYKEEPER.SYS
是否删除RootKit程序?

程序:
C:\PROGRAM FILES\YOK\YOK.EXE
是否删除木马程序及其衍生物?
程序:
C:\PROGRAM FILES\YOK\YOK.EXE
是木马木马!

处理结果:成功清除!

程序:
C:\PROGRAM FILES\TENCENT\QQ\QQ.EXE
是否删除木马程序及其衍生物?

程序:
C:\PROGRAM FILES\YOK\TOOLBAR.DLL
是可疑程序，是否阻止该进程继续运行?

程序:
C:\PROGRAM FILES\YOK\TOOLBAR.DLL
是否删除病毒程序?
＝＝＝＝＝＝＝＝＝＝＝

其中一次在进程里还发现有这样一个进程，没报警，但肯定不正常：

C:\Documents and Settings\ooo\Local Settings\Temp\~nsu.tmp\Au_.exe

珊瑚虫装的搜索栏里，yok.dll这个文件，用记事本打开，里面有一些字符串，不过不明白木马，不知道是否木马。

卡巴6.0套装没有弹出病毒警报，但注册表保护就不停弹出来，以下是部分卡巴的信息：

2007-2-25 9:55:32 C:\WINDOWS\Explorer.EXE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run yok.exe C:\WINDOWS\System32\rundll32.exe C:\PROGRA~1\yok\yok.dll,Rundll32 以00结尾的 Unicode 字符串创建探测到

2007-2-25 10:01:09 C:\Program Files\Internet Explorer\iexplore.exe HKEY_USERS\S-1-5-21-1177238915-1604221776-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks {88351CEF-BAC0-4A9B-8380-31A173E2926F} 以00结尾的 Unicode 字符串创建探测到

2007-2-25 10:01:12 C:\Program Files\Internet Explorer\iexplore.exe HKEY_USERS\S-1-5-21-1177238915-1604221776-725345543-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser ITBarLayout 11 00 00 00 5c 00 00 00 00 00 00 00 34 00 00 00 1f 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 03 00 00 00 20 03 00 00 00 00 00 00 06 00 00 00 69 05 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 38 bb 69 f8 ef ff 89 45 b9 86 61 0b 7a d0 ad a2 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 无格式二进制数据修改探测到

2007-2-25 10:09:36 C:\WINDOWS\Explorer.EXE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run yok.exe C:\WINDOWS\System32\rundll32.exe C:\PROGRA~1\yok\yok.dll,Rundll32 以00结尾的 Unicode 字符串创建探测到

2007-2-25 11:20:04 C:\WINDOWS\system32\services.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\npkycryp ImagePath \??\C:\Program Files\Tencent\QQ\npkycryp.sys 以00结尾的 Unicode 字符串 (带有环境变量引用) 创建探测到

[ Last edited by 六月十四 on 2007-2-25 at 12:32 ]

※ ※ ※ 本文纯属【六月十四】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-25 12:28

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

请问您的操作系统版本？
请问您的微点软件具体版本，是否最新版本？（目前最新版本：程序版本：1.2.10569.0036）

方便把这个下载连接发到support@micropoint.com.cn，我们具体分析测试一下。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-2-25 12:37

六月十四
新手上路

积分 28
发帖 28
注册 2007-2-2

Quote:

Originally posted by Legend at 2007-2-25 12:37:
请问您的操作系统版本？
请问您的微点软件具体版本，是否最新版本？（目前最新版本：程序版本：1.2.10569.0036）

方便把这个下载连接发到support@micropoint.com.cn，我们具体分析测试一下。

在QQ官网下载了2006稳定版，安装能过，没事

下载了2007B1版，安装后，同样微点报：
程序:
C:\PROGRAM FILES\TENCENT\QQ\QQ.EXE
是否删除木马程序及其衍生物?

看来QQ官方的2007本来就带点毒？

我是XP，sp1，
微点主动防御软件测试版
程序版本： 1.2.10569.0036
特征版本： 1.4.221.070224
更新时间： 2007-02-25 11:11:47

珊瑚虫的下载页面
http://bbs.coralqq.com/thread-282871-1-1.html
下载连接
http://bbs.coralqq.com/attachment.php?aid=33663

※ ※ ※ 本文纯属【六月十四】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-25 12:58

六月十四
新手上路

积分 28
发帖 28
注册 2007-2-2

#4

已发信，附有压缩包，内有BT种子

※ ※ ※ 本文纯属【六月十四】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-25 13:00

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#5

谢谢您提供的信息，我们具体分析测试一下。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-2-25 13:02

yaoshuangkui
新手上路

积分 32
发帖 32
注册 2007-1-25

#6

呵呵，应该是误报了！

※ ※ ※ 本文纯属【yaoshuangkui】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-25 13:19

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#7

YOK名声不好，好像是某流氓搜索插件，楼主自己安个360、咔咔、超级兔子什么的清理一下吧。

珊瑚虫QQ那个我一直在用，没有问题，楼主再装一次吧，注意把捆绑的插件都去掉就ok了。
PS：QQ自带的搜搜和超级旋风我也都不装。

Local Settings\Temp\~nsu.tmp\Au_.exe
一般是在某些软件卸载的时候用的，没有问题。

卡巴那个注册表监控，大意就是添加yok.exe自启动，加载IE一个搜索插件（估计就是YOK），安装腾讯的npkycryp.sys键盘加密驱动。

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-25 13:40

钢笔男孩
注册用户

积分 80
发帖 74
注册 2007-2-8
来自浙江

#8

是误报！

我以前也是比较喜欢用珊瑚虫的，但现在原版的也有了很大的改进，而且QQ里有很多重要的东西，一旦被盗后果很严重，珊瑚虫虽好，但稳定方面我还是比较相信原版。

※ ※ ※ 本文纯属【钢笔男孩】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-25 14:55

pcjuju
银牌会员

灌水大王~~

积分 2337
发帖 2290
注册 2006-10-16

#9

我用的就是珊瑚虫，没事，建议装完后在腾讯官方升级。

※ ※ ※ 本文纯属【pcjuju】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-25 16:01

stefsunyd1
新手上路

积分 5
发帖 5
注册 2007-1-8

#10

装2007珊瑚虫后没报哈就1个工具条不装即可

※ ※ ※ 本文纯属【stefsunyd1】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-25 16:45

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号