之前反馈过傲游5报毒问题。详见帖子 http://bbs.maxthon.cn/forum.php?mod=viewthread&tid=19757 3月5日重装系统(win10原版) 安装傲游,观察原来帖子里的文件夹现象。到3月10日一直无问题。3月11日0点左右报毒。 3月12日凌晨0点左右报毒。 检查傲游文件夹,奇怪的文件再次出现。 而且就在写这篇帖子的时间,奇怪文件夹里的下载链接文件消失了。 3月10日安装的软件有 迅雷极速版,终极解码,完美解码。 我的傲游版本 Version: 5.1.3.2000 OS: 10.0.16299. IE: 11.248.16299.0 Maxthon.exe = 5.1.3.2000 MxBrowser.dll = 2.0.2.244 mx_core.dll = 4.1.16.484 Maxzlib.dll = 2.2.3.10 MxService.dll = 1.0.92.270 MxAddonsMgr.dll = 5.3.0.12 MxCrashCatch.dll = 4.0.1.18 MxDb.dll = 5.37.19.8 MxDownloader.dll = 5.1.0.114 MxEncode.dll = 2.0.0.10 MxFilePackage.dll = 2.0.3.6 MxHttpRq.dll = 4.0.0.60 MxIPC.dll = 4.3.0.10 MxMsg.dll = 2.0.0.24 MxResMgr.dll = 5.2.8.214 MxRsc.dll = 5.0.0.26 MxTool.dll = 2.2.0.86 MxUI.dll = 3.3.3.154 MxXDR.dll = 2.1.0.8 MxCmpUrl.dll = 5.0.0.12 MxFav.dll = 4.0.0.20 MxFavDb.dll = 13.0.0.12 MxHistory.dll = 2.5.0.6 MxQRGen.dll = 2.1.0.6 MxSiteIcon.dll = 2.0.18.38 MxSmartUrl.dll = 3.0.0.44 MxStorage.dll = 2.0.6.22 MxMolebox.dll = 1.2.3.204 MxSync.dll = 3.0.2.28 MxUrlSec.dll = 3.0.0.40 MxAvatarExt.dll = 5.1.0.8 MxExtTools.dll = 4.0.0.22 MxAddonMisc.dll = 5.2.0.50 MxMsgCenter.dll = 1.0.0.6 MxMsgPush.dll = 3.0.0.52 MxQrcLogin.dll = 1.0.0.8 MxSvInfo.dll = 3.2.0.20 MxUeip.dll = 3.0.1.44 |
迅雷极速版 太平洋电脑网【具体名字忘记了】,终极解码 360软件管家,完美解码,官网 |
41836963 发表于 2018-3-12 13:05 我一般不从小站下东西的 |
1.询问开发,我们并没有这个dll,而且下载这个dll查看我这边同样报毒,同时这个dll没有签名 2.图2中那两个文件夹没有任何异常,你说的下载链接文件是什么意思? |
admin 发表于 2018-3-13 14:49 下载链接意思是 我电脑上mxup.exe 产生的病毒下载链接文件updater_index.htm 我开始问那两个文件夹是否有异常,是想知道正常傲游5浏览器 的Temp目录下是不是也有那两个文件夹。 updater_index.htm会被mxup.exe放在 C:\Users\saint\AppData\Roaming\Maxthon5\Temp\MxUp\MxUpIni\ 或者 C:\Users\saint\AppData\Roaming\Maxthon5\Temp\Mxdltemp 目录下。 updater_index.htm 文件内容为 “[updater] md5=7873c0e6758805123134e0c3dc4aef36 ver=4.9.9.64 [servers] 0=100,http://124.117.238.230:8090/117352/1903/mx3_update/update.exe.zip ” 也就是木马文件的下载地址 |
admin 发表于 2018-3-13 14:49 下载了腾讯云管家查杀了下 感觉我中的毒很可能是异鬼2. 感染VBR引导区域,重做系统无效。 目前查杀完毕后,傲游更新文件看起来似乎正常了。 原来傲游更新时 C:\Users\saint\AppData\Roaming\Maxthon5\Temp\MxUp\MxUpIni\ 目录里 updater_index.htm 文件内容为 “[updater] md5=7873c0e6758805123134e0c3dc4aef36 ver=4.9.9.64 [servers] 0=100,http://124.117.238.230:8090/117352/1903/mx3_update/update.exe.zip 现在已恢复为, [updater] md5=5505e6922d7e969b11100b216129edd8 ver=3.4.1.73 [servers] 0=100,http://dl-update.maxthon.cn/pc_update/1061/mxup.exe.zip 不过令我感到奇怪的是,我安装的是傲游5,为何更新文件内容里有傲游3的内容, 准备再重做下系统,看还会不会再出现木马。 |
重装系统后好像好了,傲游更新也不报毒,刚才手贱,从那个病毒更新地址吧病毒压缩包下载下来了,双击压缩包(.zip 照理说通过压缩软件看内容,不会运行的),想看下病毒文件的最后更新时间。 结果压缩文件打不开,提示文件错误。 再电击傲游浏览器更新傲游,又报毒了,不知是毒本来就没杀干净还是刚才电击压缩包的操作导致又中了。 发现更新地址有了点变化。 毒主这几天更新了病毒版本。 [updater] md5=7873c0e6758805123134e0c3dc4aef36 ver=4.9.9.64 [servers] 0=100,http://124.117.238.230:8090/117352/1904/mx3_update/update.exe.zip |
mark C:\Users\saint\AppData\Local\Packages\WinZipComputing.WinZipUniversal_3ykzqggjzj4z0\AC\INetHistory\BackgroundTransferApiGroup |