我遇到了:有关mxup.exe, mxupnew.exe 报木马问题 开始时报mxup.exe 木马,后来mxup.exe文件名自己变成了mxupnew.exe。 具体文件见附件。 我使用的傲游版本(关于里查看): 我使用的操作系统:win10 64bit 出现问题的网址是: 我的操作方法是: ========点击高级模式,可以上传本地图片。也将更快得到响应:)======== 这文件是真傲游升级程序,还是说我中毒了,木马伪装成傲游升级程序? |
报毒的是360杀毒,使用在线多杀软引擎病毒检测也被报毒。 傲游V5.1.5.1000版本时候就出现过,升级了V5.1.5.1000,现在又出现这个。而且点击傲游浏览器的检查更新,就会出现报毒问题, 报毒详情为 类型:木马-TR.Crypt.Xpack.gtvgd 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 扫描引擎:小红伞引擎 文件路径:C:\Users\saint\AppData\Roaming\Maxthon5\Temp\MxUp\mxupnew.exe 文件大小:879.7K (900,800 字节) 文件指纹(MD5):19286dca9cd270cb59974d68e9b74378 处理建议:隔离文件 |
Version: 5.1.5.2000 OS: 10.0.16299. IE: 11.125.16299.0 Maxthon.exe = 5.1.5.2000 MxBrowser.dll = 2.0.3.294 mx_core.dll = 4.1.16.512 Maxzlib.dll = 2.2.3.10 MxService.dll = 1.0.93.425 MxAddonsMgr.dll = 5.3.0.12 MxCrashCatch.dll = 4.0.1.18 MxDb.dll = 5.37.19.8 MxDownloader.dll = 5.1.0.114 MxEncode.dll = 2.0.0.10 MxFilePackage.dll = 2.0.3.6 MxHttpRq.dll = 4.0.0.60 MxIPC.dll = 4.3.0.10 MxMsg.dll = 2.0.0.24 MxResMgr.dll = 5.2.8.248 MxRsc.dll = 5.0.0.26 MxTool.dll = 2.2.0.86 MxUI.dll = 3.3.3.158 MxXDR.dll = 2.1.0.8 MxCmpUrl.dll = 5.0.0.12 MxFav.dll = 4.0.0.20 MxFavDb.dll = 13.0.0.12 MxHistory.dll = 2.5.0.6 MxQRGen.dll = 2.1.0.6 MxSiteIcon.dll = 2.0.18.40 MxSmartUrl.dll = 3.0.0.44 MxStorage.dll = 2.0.6.22 MxMolebox.dll = 1.2.4.224 MxSync.dll = 3.0.2.28 MxUrlSec.dll = 3.0.0.40 MxAvatarExt.dll = 5.1.0.8 MxExtTools.dll = 4.0.0.22 MxAddonMisc.dll = 5.2.0.50 MxMsgPush.dll = 3.0.0.52 MxQrcLogin.dll = 1.0.0.8 MxSvInfo.dll = 3.2.0.20 MxUeip.dll = 3.0.1.44 |
经过确认,这不是我们的程序,而且从签名上就可以看出来,是其他软件故意伪装放进去的,如果方便的话最好是加我QQ:1505909257我们这边详细在确认一下 |
问题是之前点击傲游浏览器,关于, 检查更新就会报毒,昨天用杀软把mxupnew杀了,然后傲游一更新就出错,提示无法检查更新。今天再检测更新,不报毒了,可以检测更新了 |
开始以为是用了qq飘云版的缘故,但后来把它卸载了重新安装的官方版QQ,今天还是出现报毒现象。 现把文件打包发出来。 报毒的主要位于这个目录。 C:\Users\saint\appdata\roaming\maxthon5\temp\mxup 目录内文件见附件压缩包,其中被报毒的两个文件mxup.exe,以及mxupnew.exe,已经被杀毒软件杀了,所以不在压缩包内,请 傲游的大大们分析下,这个问题困扰我好久了。 压缩包里面C:\Users\saint\appdata\roaming\maxthon5\temp\mxup\MxUpIni 目录里面updater_index.htm 内容是病毒文件的自动下载地址http://124.117.238.230:8090/117352/1904/mx3_update/update.exe.zip。 查这个IP竟然是我本地乌鲁木齐电信的地址。我自己分析一种可能是电信网内的某台服务器被黑了,做了病毒文件的下载服务器。 还有一种可能性是这台服务器是电信的CDN或互联网缓存服务器,该病毒文件被多次下载过所以成了热门资源,被加载到了缓存服务器里。 |
admin 发表于 2018-1-22 15:24 你好,有关傲游升级程序报毒问题仍然存在。 使用工具查看文件产生关联性,发现 C:\Program Files (x86)\Maxthon5\Bin\Maxthon.exe 启动后,产生了 C:\Users\saint\AppData\Roaming\Maxthon5\Public\MxUp\MxUp.exe 文件,也即被杀木马文件。 MxUp.exe 产生了 C:\Users\saint\AppData\Roaming\Maxthon5\Temp\MxUp\MxUpIni\updater_index.htm 文件 updater_index.htm 文件内容为 “[updater] md5=7873c0e6758805123134e0c3dc4aef36 ver=4.9.9.64 [servers] 0=100,http://124.117.238.230:8090/117352/1903/mx3_update/update.exe.zip ” mxup.exe 从这个地址下载了 update.exe.zip 也是木马文件的更新版本。 我不知道这是怎么回事。 |
admin 发表于 2018-1-22 15:24 文件产生的过程文件发到你QQ上了,傲游的大大们看看吧。 |
AllSaint'sDay! 发表于 2018-3-4 03:01 我一会收一下看看 |
admin 发表于 2018-3-12 17:18 你好,有个问题想核实下。 正常情况下, 在C:\Users\SAINT\AppData\Roaming\Maxthon5\Temp 文件夹下,会有图示这两个文件夹产生么?我不知道我是不是又中马了。 |
admin 发表于 2018-3-12 17:18 另外,正常情况下,傲游的自动更新检测是定时的么?具体是每天几点检查更新? |
admin 发表于 2018-3-12 17:18 这个东西简直太厉害了,昨天晚上才又重装的系统。今天就装装驱动啥的,刚刚发现又中了。 系统装好只安装了360,傲游,鲁大师,QQtim ,全部是官网下载。这个东西该不会是你们傲游自己的产品吧。我把傲游装上他就自带的。 |