瑞星卡卡安全论坛

 附件: 您所在的用户组无法下载或查看附件
此文件一定是木马病毒。但是瑞星杀毒软件无法查杀。请大家帮忙分析一下。
谢谢！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; CNCDialer; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; staticlogin:product=cboxf2010&act=login&info=ZmlsZW5hbWU9vfDJvbTKsNQyMDEwIMWjvfLG7L2isOajqLfHzNi73bDmo6kuZXhlJm1hYz1BOUI2QTFDOUM0NjU0QzlDQTFFQjI2NkE3QURBOEVEMSZwYXNzcG9ydD0mdmVyc2lvbj0yMDEwLjYuMy42LjImY3Jhc2h0eXBlPTE=&verify=86d7162b5ffb7f091dc24fb0a963b1e1; TheWorld)




附件: 木马病毒样本.rar

附件: 木马病毒样本.rar

附件: SREngLOG.log

附件下载不了哦，楼主`````````````````

我这边运行报错，你把ntwdblib.dll一并上传。

 附件: 您所在的用户组无法下载或查看附件
而且没有检测到威胁行为。
看你的报毒信息，应该是这个程序在连接你本机的1433，你这台电脑有装sql server么？

不好意思。我刚刚又重新编辑了一下，重新上传了一下，不知道上传成功没有。
自己的帖子，自己都不能浏览。是不是我没有权限呀？

127.0.0.1
这是本地计算机

访问自己计算机还拦截:kaka7:

你说的“没有检测到威胁行为”

我简单描述一下情况：
1、该系统是2003系统。电脑上本身没有这个文件。
2、该电脑曾经被黑客远程操作过。
3、Message消息服务关闭了，屏幕上也会有“消息”。
通过与其“聊天”得知：木马是利用1433漏洞，搞的啥鬼，木马是用免杀加壳。
重新安装系统之后：
4、电脑“远程桌面” 还是 会“自动”打开，关闭了也会“自动”打开。
5、电脑 还是 会自动添加Administretor假管理员用户，删除了还会添加。

目前重装系统后的解决办法是：
用瑞星防火墙仅开1433、4000、8000这3个端口，其余一直到65536全部封闭。

重新安装系统后，一切配置妥当后，瑞星加上密码，只有这个“东西”提示要访问网络，所以断定它就是内应的木马。

请高手分析一下，一旦发现情况瑞星升级，我就有救了。
谢谢！

我估计这个应该是木马的伪装，它是利用1433端口与客户端通讯。

没重装系统之前，它能卸载加了密码的瑞星杀毒和防火墙。也可能是木马记录了键盘操作。

重装系统后，不知道哪里没有搞“干净”。

我不懂黑客技术，说的只是表面看到的现象。大家不要见笑。

谢谢！

先把ntwdblib.dll一并上传，也在system32目录下。然后按下面操作

建议楼主使用System Repair Engineer扫描日志，将日志作为附件上传上来。下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将“SREngLOG.log”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序.

是的。谢谢！

对不起楼上各位了！我朋友下班了。
明天我让朋友把你要的文件传过来再上传。
谢谢！

你好！
昨天那个textcopy.exe，我让朋友删除了，今天搜索电脑没有发现你的要的ntwdblib.dll文件。

另外：SREngLOG.log 已经上传。
谢谢！