[求助]一时大意被钓鱼了 求高手分析一下病毒

琮鬼宿

病毒下载地址：d8.bkill.com/key.exe

被钓鱼链接钓上，下载了上面的文件，又一时大意双击了，双击之后有个窗口一闪，之后就连文件本身都不见了，这时才意识到不对劲，不甘心又去把它下了一次，用卡巴扫描无报警，再次双击（我真是秀逗了），文件在我眼皮底下消失了。。。目前PC小姐无任何症状，求高人解析OTZ

ov_efly

把那个上传到
http://camas.comodo.com/
看看有啥行为

zerocount

加壳木马吧 自己看看有哪些不常用的端口被打开了

琮鬼宿

本帖最后由 琮鬼宿 于 2010-2-23 20:22 编辑

• File Info
Name        Value
Size        621481
MD5        784abee5cb7324ea8cd837761662add7
SHA1        28b1f23ba28153fb699d131f16d772fcfa7430fc
SHA256        ac3a508e862096f7867607f6c3850061d05367334bd7a7532fa9cdcea960e657
Process        Exited
• Keys Created
• Keys Changed
• Keys Deleted
• Values Created
• Values Changed
Name        Type        Size        Value
LM\\Software\\Classes\\ClsId\\{871C5380-42A0-1069-A2EA-08002B30309D}\\shell\\OpenHomePage\\Command\\        REG_EXPAND_SZ/REG_SZ        100/134        \"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\"\"/\"C:\\Program Files\\Internet Explorer\\iexplore.exe http://www.26dh.cn\"
• Values Deleted
• Directories Created
Name        Last Write Time        Creation Time        Last Access Time        Attr
C:\\Documents and Settings\\User\\Local Settings\\Temp\\E_N4        2009.01.12 14:47:57.609        2009.01.12 14:47:56.984        2009.01.12 14:47:57.609        0x10
• Directories Changed
• Directories Deleted
• Files Created
Name        Size        Last Write Time        Creation Time        Last Access Time        Attr
C:\\Documents and Settings\\User\\Local Settings\\Temp\\E_N4\\krnln.fnr        1089536        2009.01.12 14:47:57.593        2009.01.12 14:47:57.281        2009.01.12 14:47:57.281        0x20
C:\\Documents and Settings\\User\\Local Settings\\Temp\\E_N4\\shell.fne        61440        2009.01.12 14:47:57.625        2009.01.12 14:47:57.609        2009.01.12 14:47:57.609        0x20
• Files Changed
• Files Deleted
• Directories Hidden
• Files Hidden
• Drivers Loaded
• Drivers Unloaded
• Processes Created
• Processes Terminated
• Threads Created
PId        Process Name        TId        Start        Start Mem        Win32 Start        Win32 Start Mem
0x344        svchost.exe        0x170        0x7c810856        MEM_IMAGE        0x7c910760        MEM_IMAGE
• Modules Loaded
• Windows Api Calls
• DNS Queries
• HTTP Queries
• Verdict
Auto Analysis Verdict
Undetected

看不懂，求解答，拜谢~！

ov_efly

修改了IE首页吧
加了26那个网址

还建立N4那个文件夹
下面有fnr fne两个文件
设置了隐藏属性
加载驱动
等等

你还是扫描一下得了
要不重装？

琮鬼宿

本帖最后由 琮鬼宿 于 2010-2-23 20:44 编辑

N4文件夹及两个文件找到并删除了
打开久违的IE娘首页依然是空白页。。。倒是发现多了好多乱七八糟的工具条等东西OTZ，估计是我妹妹使用时留下的= =
准备晚上睡觉的时候执行一次全盘扫描，希望没什么事。。。不想再折腾系统了T_T

上面的网站收藏了，感谢~！

touhouproject

居然是用易语言写的程序233

猫大

地球太危险了-_<天啊。说不定我早是肉鸡了。