這個是木馬嗎?

冰兒法菈

不好意思 想請問一下

因為今天頭暈暈不小心點了這個

h t t p : / / w w w . w r e t c h - c c . c o m / a l b u m / a n i a 9 4 5 6 1
若有放置病毒連結時，請勿直接貼上，以免讓其他人誤點擊連結 by 闇之鬥魂
(我不曉得是什麼，所以請不要點它)
這裡面也不曉得放了什麼

請問各位大大這是病毒還是木馬嗎?

[ 本文最後由 闇之鬥魂 於 06-9-24 12:37 PM 編輯 ]

路.里美亞克

可能不是木馬

不過惡意程式的可能性很大 因為是自動載入ˊˋ

不小心點到  馬上截斷了

目前電腦還沒事...

幻影神兵

網頁是用VBScript設定的
會自動下載↓
http://www.gamanai.net/test/gamanai  exe（←不要真的自己去下載）

下載後他也會自動執行
接著會出現一個叫做winlogin.exe 的檔案
這是個病毒檔案，病毒名稱是RANDEX.E

當然也有人說他也是會改成很惡意的木馬  
而資料也說 Kerne0110.exe 是他的分身

建議是先掃毒看看有沒有中毒，若有的話再來尋助。

---賽門找到的關於此病毒的資料---
W32.Randex.E是一個網路休閒聊天(IRC)的木馬程式，會允許使用者控制使用IRC用戶的電腦。 它也是個破壞程式 (此為蠕蟲)，可以使用 DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) 來分解自己複製檔案。
------------------------------
相關的名稱有
IRC-BBot [McAfee],
WORM_RPCSDBOT.A [趨勢]
Trojan-Dropper.Win32.Small.bc [卡巴斯基]

病毒行為描述是
當該檔案執行時，它會自動複製自己來製造以下檔案

• %System%\nstask32.exe
• %System%\winlogin.exe
  

也會複製自己到系統的佔存檔區(WINDOWS TEMP)以隨意的名稱存在。

然後還創造兩個檔案

• %System%\win32sockdrv.dll
• %System%\yuetyutr.dll
  

來偽裝成Explorer.exe的行程。


另外會增加註冊碼(regedit)在

• HK_C_U\Software\Microsoft\Windows\CurrentVersion\Runonce
• HK_L_M\Software\Microsoft\Windows\CurrentVersion\Run

值為

• "NDplDeamon"="nstask32.exe"
• 或者
• "NDpLDeamon"="winlogin.exe"

有些變種的木馬也會增加
"winlogon"="winlogin.exe"
在
HK_L_M\Software\Microsoft\Windows\CurrentVersion\Run之中

若系統為XP(大多都用XP所以我貼XP的)
它會在HK_L_M\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
加入

• "Shell"="explorer.exe winlogin.exe"
• 或者
• "Shell"="explorer.exe nstask32.exe"

其他的描述不多加翻譯，只翻譯修改的部分。

還有若真的有中木馬的話，說一下我再翻譯刪除的部分

[ 本文最後由 幻影神兵 於 06-9-23 08:25 PM 編輯 ]

wilian0104

原文由 幻影神兵 於 06-9-23 07:44 PM 發表
網頁是用VBScript設定的
會自動下載↓
http://www.gamanai.net/test/gamanai  exe（←不要真的自己去下載）

下載後他也會自動執行
接著會出現一個叫做winlogi ...

我重這個毒了......
要怎麼刪除 請教一下 謝謝

幻影神兵

原文由 wilian0104 於 06-9-23 09:01 PM 發表

我重這個毒了......
要怎麼刪除 請教一下 謝謝

阿哈
剛好翻譯結束不久
http://tw.myblog.yahoo.com/compu ... prev=16&next=41

去看看刪除方法吧:D

冰兒法菈

我按了之後 有用卡巴掃了一次

沒有掃到東西

可是用Ad-aware有掃到一些病毒
(不過我刪了沒有看檔案是什麼@ @\)

幻影神兵

原文由 冰兒法菈 於 06-9-24 02:09 AM 發表
我按了之後 有用卡巴掃了一次

沒有掃到東西

可是用Ad-aware有掃到一些病毒
(不過我刪了沒有看檔案是什麼@ @\)

下次刪除前還是要看看刪除了什麼東西比較好啊= =
不過Ad-a 大多都會找到餅乾(cookie)的危險物件，我昨天就掃過，全都是cookie。

沒掃到東西的話就恭喜您了，不過還是搜尋看看有沒有建造出上面說的兩個文件
以做最後確認。

路.里美亞克

其實如果中在餅乾(噗XD)裡

在下建議用空間清除程式通通掃掉比較乾脆ˊˇˋ

如CCleaner就不錯用  而且是綠色軟體ˊˇˋ

幻影神兵

原文由 路.里美亞克 於 06-9-24 09:32 AM 發表
其實如果中在餅乾(噗XD)裡

在下建議用空間清除程式通通掃掉比較乾脆ˊˇˋ

如CCleaner就不錯用  而且是綠色軟體ˊˇˋ

嗯，我空間也是有放

不過CCleaner的壞處就是，除非你是先設定，否則他會一次把你的餅乾刪除掉
而餅乾最大的好處就是紀錄你的帳號資料（雖然也可能會成為壞處）

有時候你進去一個論壇會忘記帳號密碼，這就是好處了

因此若刪除可能對某些懶的記帳號密碼的有諸多不便（像我一次要記得５種帳號配密碼－　－＂）

建議還是使用查殺軟體來刪除比較好，CC的話，我用來留著掃reg而已XD