瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 紧急求助貌似中毒了~~帮我分析一下

12   2  /  2  页   跳转

[求助] 紧急求助貌似中毒了~~帮我分析一下

收藏
本主题由 版主 天月来了 于 2010-1-4 10:29:48 执行 合并主题 操作
五湖秋
头像
初生襁褓狮
  • 帖子:78
  • 注册: 2009-10-29
  • 来自:
发表于: 2009-12-31 13:22 | 显示全部 短消息 资料
字号: 11楼

回复 2F 天月来了 的帖子

对这个jpg格式的图片测试结果我看到了,说是没有危害。但为什么这个流氓软件的作者要发这么一个无聊的图片?而且在vbs文件代码中明显有隐蔽执行这个图片的意图。如果此图片真没有问题,有可能就是作者在加入捆绑程序后失效有关(有这种可能,使用一些捆绑合并程序来处理时反而损坏了原本要真正运行的可执行程序),但为什么作者自己就没有测试过?包括那个莫名其妙找不到踪影的run.bat脚本……如果真是作者的疏漏,我只能认为他(她)也太不严谨了(注意,这里严谨是针对单纯编程来说的,与程序要达到的目的无关)!
gototop
 
五湖秋
头像
初生襁褓狮
  • 帖子:78
  • 注册: 2009-10-29
  • 来自:
发表于: 2009-12-31 15:30 | 显示全部 短消息 资料
字号: 12楼

请专业人士来分析一下这个文件是否为病毒

[tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,]
反病毒引擎版本最后更新扫描结果
a-squared4.5.0.432009.12.30-
AhnLab-V35.0.0.22009.12.29-
AntiVir7.9.1.1222009.12.30-
Antiy-AVL2.0.3.72009.12.30-
Authentium5.2.0.52009.12.30-
Avast4.8.1351.02009.12.30-
AVG8.5.0.4302009.12.30-
BitDefender7.22009.12.30-
CAT-QuickHeal10.002009.12.30-
ClamAV0.94.12009.12.30-
Comodo34152009.12.30-
DrWeb5.0.1.122222009.12.30-
eSafe7.0.17.02009.12.29-
eTrust-Vet35.1.72062009.12.30-
F-Prot4.5.1.852009.12.30-
F-Secure9.0.15370.02009.12.30-
Fortinet4.0.14.02009.12.30-
GData192009.12.30-
IkarusT3.1.1.79.02009.12.30Trojan.Win32.Redosdru
Jiangmin13.0.9002009.12.30-
K7AntiVirus7.10.9322009.12.28-
Kaspersky7.0.0.1252009.12.30-
McAfee58462009.12.29BackDoor-DVB.gen.l
McAfee+Artemis58462009.12.29BackDoor-DVB.gen.l
McAfee-GW-Edition6.8.52009.12.30-
Microsoft1.53022009.12.30Trojan:Win32/Redosdru.F
NOD3247282009.12.30-
Norman6.04.032009.12.30-
nProtect2009.1.8.02009.12.30-
Panda10.0.2.22009.12.30-
PCTools7.0.3.52009.12.30-
Prevx3.02009.12.30-
Rising22.28.02.042009.12.30-
Sophos4.49.02009.12.30-
Sunbelt3.2.1858.22009.12.30-
Symantec1.4.4.122009.12.30-
TheHacker6.5.0.3.1212009.12.30-
TrendMicro9.120.0.10042009.12.30-
VBA323.12.12.12009.12.30-
ViRobot2009.12.30.21162009.12.30-
VirusBuster5.0.21.02009.12.29-
[tr=rgb(226,][tr=rgb(226,][tr=rgb(226,][tr=rgb(226,]
附加信息
File size: 88588 bytes
MD5  : 40c9c86c333e1f7322647dd1de94ee54
SHA1  : ce73f3288c0e85926152277598497eece23caa25
SHA256: 5cca71da44f9984934e1e9ade519c053bf4d834cf5b0414bd00b0d5172d7ec7d
TrID  : File type identification
RAR Archive (83.3%)
REALbasic Project (16.6%)
ssdeep: 1536:3DUmn6DvZnjPqWCkusWytbM8ejL7BnhNURSpcDJgRorQhB6scW74IU3Y4LieoPRL:TUbDEW1RM3faRSpQJWkscW74pYkiHwfq
PEiD  : -
RDS  : NSRL Reference Data Set


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.6 (KHTML, like Gecko) Chrome/4.0.266.0 Safari/532.6

附件附件:

下载次数:215
文件类型:application/octet-stream
文件大小:
上传时间:2009-12-31 15:30:21
描述:rar
gototop
 
五湖秋
头像
初生襁褓狮
  • 帖子:78
  • 注册: 2009-10-29
  • 来自:
发表于: 2009-12-31 15:40 | 显示全部 短消息 资料
字号: 13楼

回复 6F 天月来了 的帖子

天哥到底是啥恶意行为噶 能否具体分析一下噶 ?怎么好多的杀软都没报毒啊?
gototop
 
五湖秋
头像
初生襁褓狮
  • 帖子:78
  • 注册: 2009-10-29
  • 来自:
发表于: 2009-12-31 19:53 | 显示全部 短消息 资料
字号: 14楼

SOS-----救命啊回收站没了!----在线等!!!!

今天下了个播放器、ESET没反应。谁知有毒、我删掉桌面上的图标后回收站也没了、怎么办啊 急##

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.6 (KHTML, like Gecko) Chrome/4.0.266.0 Safari/532.6
gototop
 
五湖秋
头像
初生襁褓狮
  • 帖子:78
  • 注册: 2009-10-29
  • 来自:
发表于: 2010-01-01 14:17 | 显示全部 短消息 资料
字号: 15楼

SOS。。病毒一定是PE文件吧?非PE文件不是病毒吧?

大家好,从题目的问题就可以知道我是。。。。。。小菜一个!高手莫见笑噶!



        我在给瑞星上传病毒样本的时候,客服总是回答PE、非PE之类的,我也查了PE的定义,百度上的定义是“可执行文件”,那么病毒一定是可执行文件吧?



      客服所说的非PE一定不是病毒吧?

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 1.1.4322; TheWorld)
gototop
 
五湖秋
头像
初生襁褓狮
  • 帖子:78
  • 注册: 2009-10-29
  • 来自:
发表于: 2010-01-01 20:27 | 显示全部 短消息 资料
字号: 16楼

SOS。。。。IE问题 帮忙啊 在线等

所有的IE内核浏览器都是这个提示:无法找到“max:start,请确保路径或Internet地址正确”

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 1.1.4322; TheWorld)
gototop
 
五湖秋
头像
初生襁褓狮
  • 帖子:78
  • 注册: 2009-10-29
  • 来自:
发表于: 2010-01-01 20:31 | 显示全部 短消息 资料
字号: 17楼

回复 2F GenesisZero 的帖子

参考这个干什么噶 我的不是病毒噶
gototop
 
五湖秋
头像
初生襁褓狮
  • 帖子:78
  • 注册: 2009-10-29
  • 来自:
发表于: 2010-01-03 21:50 | 显示全部 短消息 资料
字号: 18楼

求助:请大家帮忙啊,帮忙判断是不是被黑---在线等!

0100103(10:53:28):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:53:30):[URL]: 192.168.  1.102 访问域名 bt.emu618.com 。
20100103(10:53:30):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:53:32):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:53:34):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:53:35):[URL]: 192.168.  1.102 访问域名 bt.btwuji.com 。
。。20100103(10:55:24):[URL]: 192.168.  1.102 访问域名 montel.isa-geek.org 。
20100103(10:55:24):[URL]: 192.168.  1.102 访问域名 montel.isa-geek.org 。
20100103(10:55:25):[URL]: 192.168.  1.102 访问域名 bt.romman.net 。
20100103(10:55:25):[URL]: 192.168.  1.102 访问域名 bt.romman.net 。
20100103(10:55:25):[URL]: 192.168.  1.102 访问域名 tracker.torrentreactor.com 。
20100103(10:55:25):[URL]: 192.168.  1.102 访问域名 tracker.torrentreactor.com 。
20100103(10:55:25):[URL]: 192.168.  1.102 访问域名 tracker.torrentreactor.com 。
20100103(10:55:26):[URL]: 192.168.  1.102 访问域名 bittorrent.dyndns.org 。
20100103(10:55:26):[URL]: 192.168.  1.102 访问域名 bittorrent.dyndns.org 。
20100103(10:55:26):[URL]: 192.168.  1.102 访问域名 bittorrent.dyndns.org 。
20100103(10:55:26):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:26):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:26):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:26):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:27):[URL]: 192.168.  1.102 访问域名 bt.lanspirit.net 。
20100103(10:55:27):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:55:29):[URL]: 192.168.  1.102 访问域名 onii-chan.ath.cx 。
20100103(10:55:29):[URL]: 192.168.  1.102 访问域名 onii-chan.ath.cx 。
20100103(10:55:29):[URL]: 192.168.  1.102 访问域名 onii-chan.ath.cx 。
20100103(10:55:29):[URL]: 192.168.  1.102 访问域名 tracker.animeun.com 。
20100103(10:55:29):[URL]: 192.168.  1.102 访问域名 tracker.animeun.com 。
20100103(10:55:29):[URL]: 192.168.  1.102 访问域名 tracker.animeun.com 。
20100103(10:55:29):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:55:31):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:55:33):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:55:34):[URL]: 192.168.  1.102 访问域名 bittorrent.dyndns.org 。
20100103(10:55:34):[URL]: 192.168.  1.102 访问域名 bittorrent.dyndns.org 。
20100103(10:55:34):[URL]: 192.168.  1.102 访问域名 bittorrent.dyndns.org 。
20100103(10:55:34):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:34):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:34):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:34):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:34):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:34):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com 。
20100103(10:55:35):[URL]: 192.168.  1.102 访问域名 bt.lanspirit.net 。
20100103(10:55:35):[URL]: 192.168.  1.102 访问域名 bt.lanspirit.net 。
20100103(10:55:35):[URL]: 192.168.  1.102 访问域名 bt.lanspirit.net 。
20100103(10:55:35):[URL]: 192.168.  1.102 访问域名 tracker.ydy.com.private 。
20100103(10:55:35):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:55:37):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:55:39):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:55:42):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:55:44):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:55:46):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:03):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:05):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:06):[Security]: 59. 38.131. 60 试图连接你的TCP端口26522 .
20100103(10:56:07):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:09):[Security]: 59. 38.131. 60 试图连接你的TCP端口26522 .
20100103(10:56:09):[Security]:从 12.175. 44.211收到ICMP 报文,类型是: 8,代码是:0。
20100103(10:56:09):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:09):[Security]:从 12.175. 44.211收到ICMP 报文,类型是: 8,代码是:0。
20100103(10:56:11):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:13):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:15):[Security]: 59. 38.131. 60 试图连接你的TCP端口26522 .
20100103(10:56:15):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:16):[WIRELESS]: 无线客戶端 00-16-FE-39-F1-B2  断开AP。
20100103(10:56:16):[Security]: 41.244.  9.202 试图连接你的TCP端口4899 .
20100103(10:56:18):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:20):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:22):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:24):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:26):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:28):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:30):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:32):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:34):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:37):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:39):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:41):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:43):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:45):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:47):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:49):[Security]:从 81. 38.  1. 81收到ICMP 报文,类型是: 3,代码是:3。
20100103(10:56:49):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:51):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:53):[URL]: 192.168.  1.102 访问域名 hub5pr.sandai.net 。
20100103(10:56:54):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:56):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:56:58):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:00):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:02):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:04):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:06):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:07):[Security]:从222. 89.194. 35收到ICMP 报文,类型是: 3,代码是:3。
20100103(10:57:08):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:10):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:13):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:15):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:17):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:19):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:21):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:23):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:25):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:27):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:29):[Security]:从222. 89.194. 35收到ICMP 报文,类型是: 3,代码是:3。
20100103(10:57:30):[Security]:从124.238. 40.  1收到ICMP 报文,类型是: 0,代码是:0。
20100103(10:57:31):[Security]: 59. 38.131. 60 试图连接你的TCP端口26522 .

老是有不是我访问的域名,而且有别的ip试图连接我,请问怎么办?


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; TheWorld)
gototop
 
五湖秋
头像
初生襁褓狮
  • 帖子:78
  • 注册: 2009-10-29
  • 来自:
发表于: 2010-01-04 10:15 | 显示全部 短消息 资料
字号: 19楼

有关 . exe文件夹

最近遇到个问题,就是打开U盘,发现以前的文件夹都被隐藏了,并且变成了.exe文件夹,用U盘专杀后可以恢复,但电脑里面的却清除不了(干净的盘放到电脑上自动生成.exe文件,并且隐藏的autorun文件夹也变成.exe文件夹了),可以说是电脑中毒了,可是杀毒软件还是不能完全清理,如何清理掉此毒噶?


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; TheWorld)
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT