瑞星卡卡安全论坛

这是个bt的下载器..

分析如下
生成文件
C:\WINDOWS\cc123.dll
C:\WINDOWS\system32\evdabferxxuoj.dll
C:\WINDOWS\system32\popfiles.ini

注册表
[HKCR\CLSID\{7FDF11D3-DD1C-41B8-92E0-56D2B1B2FC3D}\InprocServer32]
"（默认）"="C:\WINDOWS\system32\evdabferxxuoj.dll"

连网下载
htp://www.tsdown.cn/two.exe
htp://www2.adonga.cn/down/update5.exe
htp://www2.adonga.cn/down/update13.exe
htp://www2.adonga.cn/down/update7.exe
htp://www2.adonga.cn/down/update15.exe
htp://www2.adonga.cn/down/update171.exe
htp://www2.adonga.cn/down/39.exe
htp://www2.adonga.cn/down/update20.exe
htp://www2.adonga.cn/down/update6.exe
htp://www2.adonga.cn/down/update16.exe
htp://www2.adonga.cn/down/update341.exe
htp://www2.adonga.cn/down/update32.exe
htp://www2.adonga.cn/down/update18.exe
htp://www2.adonga.cn/down/update4.exe
htp://www2.adonga.cn/down/update21.exe
htp://www2.adonga.cn/down/update33.exe
htp://www2.adonga.cn/down/update351.exe
htp://www2.adonga.cn/down/update0.exe
htp://www2.adonga.cn/down/up.exe
htp://www.tsdown.cn/mhqq.exe
htp://www.tsdown.cn/0.exe
htp://www.tsdown.cn/cha.exe

跳转主页
http://www.0318dj.com/l/nami.htm

好象还跳转
http://www.0318dj.com/l/nami.htm
http://medask.yynet.cn/pop.php
http://www.siphrd.com/companyads/ad/namiAD.html
http://www.dofus.com.cn/800.htm
http://www.machinery35.com/jinbi.htm
http://www.netv3g.com/pop_demo.php

中了无药可救..

致not至  ok?  嘎嘎嘎嘎

中了无药可救好东西啊
这种超级武器可不好找

哈哈。。还无药可救。。。

狠。

看谁不顺眼偷偷放他机器上
让他去死吧

M 把样本给我。。。

哈哈。。以后看谁不爽就给他玩这个。。。

心地真坏..坚决不给..

引用:

【mopery的贴子】 心地真坏..坚决不给.. ………………

人手一个怎么样
必备工具
看谁还敢不老实

引用:

【mopery的贴子】这是个bt的下载器.. 分析如下 生成文件 C:\WINDOWS\cc123.dll C:\WINDOWS\system32\evdabferxxuoj.dll C:\WINDOWS\system32\popfiles.ini 注册表 [HKCR\CLSID\{7FDF11D3-DD1C-41B8-92E0-56D2B1B2FC3D}\InprocServer32] "（默认）"="C:\WINDOWS\system32\evdabferxxuoj.dll" 连网下载 htp://www.tsdown.cn/two.exe htp://www2.adonga.cn/down/update5.exe htp://www2.adonga.cn/down/update13.exe htp://www2.adonga.cn/down/update7.exe htp://www2.adonga.cn/down/update15.exe htp://www2.adonga.cn/down/update171.exe htp://www2.adonga.cn/down/39.exe htp://www2.adonga.cn/down/update20.exe htp://www2.adonga.cn/down/update6.exe htp://www2.adonga.cn/down/update16.exe htp://www2.adonga.cn/down/update341.exe htp://www2.adonga.cn/down/update32.exe htp://www2.adonga.cn/down/update18.exe htp://www2.adonga.cn/down/update4.exe htp://www2.adonga.cn/down/update21.exe htp://www2.adonga.cn/down/update33.exe htp://www2.adonga.cn/down/update351.exe htp://www2.adonga.cn/down/update0.exe htp://www2.adonga.cn/down/up.exe htp://www.tsdown.cn/mhqq.exe htp://www.tsdown.cn/0.exe htp://www.tsdown.cn/cha.exe 跳转主页 http://www.0318dj.com/l/nami.htm 好象还跳转 http://www.0318dj.com/l/nami.htm http://medask.yynet.cn/pop.php http://www.siphrd.com/companyads/ad/namiAD.html http://www.dofus.com.cn/800.htm http://www.machinery35.com/jinbi.htm http://www.netv3g.com/pop_demo.php 中了无药可救.. ………………

当真没有解决办法？

你一个一个下..然后一个一个运行..

然后看看电脑还能运行么..

英雄....你就发发善心给一个吧........

首先感谢您的帮忙分析！
我的系统重做了，昨晚上开机本来想删掉你所说的那几个生成文件
开机，可电脑杀毒软件被退出，瞬间病毒感染所有硬盘，并且同样在每个磁盘下面产生autorun.inf文件，开机进入到vista下面杀毒，只能发现少量的病毒。呵呵！无奈重做系统，vista还是有点安全性的，起码没有病毒泛滥！哈哈…………

病毒我收藏留念拉，如果那位高手对该样本有兴趣可以给我留言！

引用:

【自由边缘的贴子】病毒我收藏留念拉，如果那位高手对该样本有兴趣可以给我留言！ ………………

给我一个。。。。zkkgsg@163.com

我也想來個。。
resmemory@163.com
謝謝了！

安全模式中也会加载吗 那在命令行下可以操作吗 不能进去删除? 注册表是否改动?发个样本看看呢 哈

斑主们我给他们这个样本会不会违规啊！等等看看斑竹批准一下！
不要用于其它用途阿！只能研究并且要承诺把研究的报告跟在该贴后面
让兄弟们监督学习！也好让人能够有所防范！

报告M已经写了。。。。

偶们只是拿去玩玩。。。

学习学习版主的分析方法。。。

你以为偶们真的拿去害人呀。。。

已经给你们发了！别忘了替我杀死他！报仇阿！全是眼泪 啥也别说啦！
偶没有以为你们回去害人啊！偶只是担心被斑竹封掉ID啊！

路过无语......

看看有人提出好的解决办法了没有啊！

我中拉这个拉.没打开一个网页都说无法打开.建议用firefox火狐浏览器.日的火狐页用这流氓手段开始推广拉.....?????
最后我山掉了几个dll.现在没问题拉.我的dll和列出来的不一样

该用户帖子内容已被屏蔽