重装系统后傲游5报毒问题再次出现

之前反馈过傲游5报毒问题。详见帖子  http://bbs.maxthon.cn/forum.php?mod=viewthread&tid=19757

3月5日重装系统（win10原版） 安装傲游，观察原来帖子里的文件夹现象。到3月10日一直无问题。3月11日0点左右报毒。 3月12日凌晨0点左右报毒。


检查傲游文件夹，奇怪的文件再次出现。    而且就在写这篇帖子的时间，奇怪文件夹里的下载链接文件消失了。





3月10日安装的软件有 迅雷极速版，终极解码，完美解码。

我的傲游版本
Version: 5.1.3.2000
OS: 10.0.16299.
IE: 11.248.16299.0

Maxthon.exe = 5.1.3.2000
MxBrowser.dll = 2.0.2.244
mx_core.dll = 4.1.16.484
Maxzlib.dll = 2.2.3.10
MxService.dll = 1.0.92.270
MxAddonsMgr.dll = 5.3.0.12
MxCrashCatch.dll = 4.0.1.18
MxDb.dll = 5.37.19.8
MxDownloader.dll = 5.1.0.114
MxEncode.dll = 2.0.0.10
MxFilePackage.dll = 2.0.3.6
MxHttpRq.dll = 4.0.0.60
MxIPC.dll = 4.3.0.10
MxMsg.dll = 2.0.0.24
MxResMgr.dll = 5.2.8.214
MxRsc.dll = 5.0.0.26
MxTool.dll = 2.2.0.86
MxUI.dll = 3.3.3.154
MxXDR.dll = 2.1.0.8
MxCmpUrl.dll = 5.0.0.12
MxFav.dll = 4.0.0.20
MxFavDb.dll = 13.0.0.12
MxHistory.dll = 2.5.0.6
MxQRGen.dll = 2.1.0.6
MxSiteIcon.dll = 2.0.18.38
MxSmartUrl.dll = 3.0.0.44
MxStorage.dll = 2.0.6.22
MxMolebox.dll = 1.2.3.204
MxSync.dll = 3.0.2.28
MxUrlSec.dll = 3.0.0.40
MxAvatarExt.dll = 5.1.0.8
MxExtTools.dll = 4.0.0.22
MxAddonMisc.dll = 5.2.0.50
MxMsgCenter.dll = 1.0.0.6
MxMsgPush.dll = 3.0.0.52
MxQrcLogin.dll = 1.0.0.8
MxSvInfo.dll = 3.2.0.20
MxUeip.dll = 3.0.1.44

迅雷极速版，终极解码，完美解码。
这三个软件是哪里下的？

迅雷极速版  太平洋电脑网【具体名字忘记了】，终极解码 360软件管家，完美解码，官网

41836963 发表于 2018-3-12 13:05
迅雷极速版，终极解码，完美解码。
这三个软件是哪里下的？

我一般不从小站下东西的

1.询问开发，我们并没有这个dll，而且下载这个dll查看我这边同样报毒，同时这个dll没有签名
2.图2中那两个文件夹没有任何异常，你说的下载链接文件是什么意思？

admin 发表于 2018-3-13 14:49
1.询问开发，我们并没有这个dll，而且下载这个dll查看我这边同样报毒，同时这个dll没有签名
2.图2中那两个 ...

下载链接意思是 我电脑上mxup.exe 产生的病毒下载链接文件updater_index.htm

我开始问那两个文件夹是否有异常，是想知道正常傲游5浏览器 的Temp目录下是不是也有那两个文件夹。

updater_index.htm会被mxup.exe放在
C:\Users\saint\AppData\Roaming\Maxthon5\Temp\MxUp\MxUpIni\   
或者
C:\Users\saint\AppData\Roaming\Maxthon5\Temp\Mxdltemp
目录下。

updater_index.htm    文件内容为   
“[updater]
md5=7873c0e6758805123134e0c3dc4aef36
ver=4.9.9.64
[servers]
0=100,http://124.117.238.230:8090/117352/1903/mx3_update/update.exe.zip

”
也就是木马文件的下载地址

admin 发表于 2018-3-13 14:49
1.询问开发，我们并没有这个dll，而且下载这个dll查看我这边同样报毒，同时这个dll没有签名
2.图2中那两个 ...

下载了腾讯云管家查杀了下

感觉我中的毒很可能是异鬼2. 感染VBR引导区域，重做系统无效。

目前查杀完毕后，傲游更新文件看起来似乎正常了。

原来傲游更新时
C:\Users\saint\AppData\Roaming\Maxthon5\Temp\MxUp\MxUpIni\  目录里  updater_index.htm    文件内容为   
“[updater]
md5=7873c0e6758805123134e0c3dc4aef36
ver=4.9.9.64
[servers]
0=100,http://124.117.238.230:8090/117352/1903/mx3_update/update.exe.zip



现在已恢复为，
[updater]
md5=5505e6922d7e969b11100b216129edd8
ver=3.4.1.73
[servers]
0=100,http://dl-update.maxthon.cn/pc_update/1061/mxup.exe.zip


不过令我感到奇怪的是，我安装的是傲游5，为何更新文件内容里有傲游3的内容，




准备再重做下系统，看还会不会再出现木马。

重装系统后好像好了，傲游更新也不报毒，刚才手贱，从那个病毒更新地址吧病毒压缩包下载下来了，双击压缩包（.zip 照理说通过压缩软件看内容，不会运行的），想看下病毒文件的最后更新时间。

结果压缩文件打不开，提示文件错误。

再电击傲游浏览器更新傲游，又报毒了，不知是毒本来就没杀干净还是刚才电击压缩包的操作导致又中了。




发现更新地址有了点变化。 毒主这几天更新了病毒版本。
[updater]
md5=7873c0e6758805123134e0c3dc4aef36
ver=4.9.9.64
[servers]
0=100,http://124.117.238.230:8090/117352/1904/mx3_update/update.exe.zip

mark
C:\Users\saint\AppData\Local\Packages\WinZipComputing.WinZipUniversal_3ykzqggjzj4z0\AC\INetHistory\BackgroundTransferApiGroup

mark

我这边转给防御工事的同事，让他看一下，这阵子我也在研究你这个东西

关联帖：http://bbs.maxthon.cn/forum.php? ... mp;page=1#pid162859