求证这是木马么 bbs.ikaka.com

卧虎石2 - 2010-1-31 19:37:00

运行360安全卫士提示有木马，瑞星监控一直开着。同时用两个软件全盘查杀，结果瑞星什么也没发现，360提示有一个木马和一个可疑程序，不敢大意备份了该文件，按360的提示进行了处理，将文件上传请工程师给看看到底是什么

五花草甸 - 2010-1-31 19:39:00

建议把病毒样本发给瑞星，地址为：http://mailcenter.rising.com.cn/FileCheck/
提交后，可自行查询处理进度。

卧虎石2 - 2010-1-31 19:48:00

晕哪，就这么个小文件，上传了近十分钟，老是显示“正在上报”

卧虎石2 - 2010-1-31 19:53:00

上传两次都没成功，系统繁忙，请论坛里的高手帮帮忙吧

leo108 - 2010-1-31 20:04:00

根据文件的文件名，基本上可以判断是病毒文件

五花草甸 - 2010-1-31 20:10:00

引用:

原帖由 卧虎石2 于 2010-1-31 19:53:00 发表
上传两次都没成功，系统繁忙，请论坛里的高手帮帮忙吧

换个时间段上传吧，可能是服务器维护。

tenzy - 2010-1-31 20:11:00

正常软件不会起这种奇怪文件名。楼主想办法把他们卡擦了吧

xzcv - 2010-1-31 20:11:00

360查出，可以隔离

xzcv - 2010-1-31 20:16:00

用小红伞报了oO○.rar，但那个theW.exe则没有报，但是下载下来看了，解压后看那样子，因为我从没在drivers文件夹中看见过*.exe的文件，应该也有问题的。反正知道路径，如果软件不行，就手动

tenzy - 2010-1-31 20:32:00

TheW.exe程序双击后自动复制到drivers目录下，并自动连接网络，防火墙无提示，种种迹象判断为注入进程木马

卧虎石2 - 2010-2-1 8:11:00

还可以用这招？学习了！谢谢。谢谢大家，现在感觉是木马的可能性比较大，删了。

万事达 - 2010-2-1 10:05:00

楼主提供的样本已上报瑞星分析

夲號ヱ被ジ盜 - 2010-2-1 12:47:00

分析仓促，望指正

TheW.exe采用UPX 加壳
采用Delphi编写

修改主页
添加启动实现开机启动
弹出钓鱼网站

oO○。ime
有UPX信息

TheW.exe部分行为【CA监控】

快乐未来雨 - 2010-2-1 13:50:00

~~TheW.exe，看发作和截图，属于后门木马~~

万事达 - 2010-2-5 9:54:00

升级瑞星至最新版本，已可查杀

瑞星卡卡安全论坛