近几天大富翁网站碰到的严重问题！！！（可能很多人的机器都中毒了） (100分)

我建议签名中把html的支持取消吧

　　我知道这一问题，我碰到过，这是一个与QQ有关的木马，在后台运行，具体文件名不详，
希望知情者发布。
　　每当QQ发出一条消息时，会自动在消息后面加入一条“http://myqq.delphibbs.com你感兴趣的”
　　因此导致ＱＱ用户不断点击该地址，造成delphibbs.com网路堵塞。

大家快想个办法呀，首先从自我做起，先排除自己机子的问题。
dfw如果关啦，是个重大的损失呀，可惜我才疏学浅，不然……
[]

soul啊，把这半年的数据库也放了吧
http://www.delphibbs.com/delphibbs/dispq.asp?lid=1581455

确实如此，发觉此问题是由于页面中加载http://msch.nease.net/new/send.
eml引起的，
而send.
eml中是一个利用了ie iframe的漏洞运行了一个用delphi7编写的scr程序。从里面的
资源内容来看，还发送了QQ的密码。也就是说已经具备相当的破坏性。既然他用了delphibbs
的域名，从很大程度上已经损害了大富翁的形象，所以必须尽快解决。
myqq同志见到此贴，请提供相应的补救措施做反过程清除病毒。否则我们保留一切可能的
解决方案。

我在武汉用165上(56K)速度正常.
硬盘也没什么毒..
祝DFW早日恢复正常

去哪看IP

我刚才试了一下那个MYQQ同志的程序 WBKXXX.exe(20K左右)
发现运行后它会把自身COPY到系统的system32目录下
名称为(好象是固定的)、然后随机运行下面文件中的一个:
Internets.exe
svh0st.exe
Scanregw.exe
运行的结果:
在注册表中(software/microsoft/Windows/CurrentVersion/Run)添加
Scanreg 系统路径/system32/ScanregW.exe (估计会随机为上面的三个文件之一)
该程序运行后隐藏,但可在进程表中列出并杀掉,(好象没发现打开端口)
经测试正常退出系统它不会再写注册表，也不会COPY自身,故可以写
一脚本或程序、先从系统进程查找上面那三个文件,杀了后改注册表,然后再杀系统中的那三
个文件即可解除

祝DFW早日恢复正常

>>有办法解除被这个网址http://msch.nease.net/new/index.html破坏了的设置？
>>是一个页面的话，我可以把所有myqq转向的域名都转向到这个页面，从而可以为
>>清除这个病毒。
soul大侠
这个页面有病毒啊，你没提醒啊
幸好我的IE打了补丁
不然可能就...

大家看看，这不就是：金山公司率先截获木马病毒“QQ密码记录器”
http://www.duba.net/press/duba_reports/2003/01/20/15607.htm

昨天我也被人攻击了，大家看是什么回事？
我装了天网防火墙和诺顿防火墙和金山毒霸2003
昨晚天网一直出现出现错误，而且一直有0.0.0.0和其它一些无
规律的ip地址的ip包，好几千个，最后只能关机
不知道是木马中毒还是外面攻击，因为外面不能ping进来，估计是不是中了木马
我查过注册表都没什么异常，用最新杀毒软件杀也没有病毒
今天又好好的，请高手解析好吗
我早就打上iis和ie6的补丁

怪不得这么慢！

嘿嘿，我的保护长达3X位。

svchost.exe 7.76 KB
请问chji,
svchost.exe是不是一个病毒文件啊？

TO:死水
那是系统文件
刚才用delphi做了一个清除该程序的例子,在delphi7+win2K下运行通过

program Project1;
{$APPTYPE CONSOLE}
uses
SysUtils,windows,Registry;
var
hCurrentWindow: HWnd;
szText: array[0..254] of char;
Reg: TRegistry;
begin
hCurrentWindow := GetWindow(GetTopWindow(0), GW_HWNDFIRST);
while hCurrentWindow <> 0do
begin
if GetWindowText(hCurrentWindow, @szText, 255) > 0 then
begin
//windowstext为'OICQ 密码记录器3'
if pos('OICQ 密码',StrPas(@szText))<>0 then
PostMessage(hCurrentWindow,$0010{wm_Close},0,0);
end;
hCurrentWindow := GetWindow(hCurrentWindow, GW_HWNDNEXT);
end;
//清除注册表
Reg := TRegistry.Create;
Reg.RootKey := HKEY_LOCAL_MACHINE;
if Reg.OpenKey('/SOFTWARE/Microsoft/Windows/CurrentVersion/Run', false) then
begin
Reg.DeleteValue('Scanreg');
Reg.DeleteKey('Scanreg');
Reg.CloseKey;
end;
(看了金山的说明才知还改了这些地方!)
Reg.RootKey := HKEY_CLASSES_ROOT;
if Reg.OpenKey('/comfile/shell/open/command', false) then
begin
Reg.WriteString('','"%1" %*');
Reg.CloseKey;
end;
if Reg.OpenKey('/exefile/shell/open/command', false) then
begin
Reg.WriteString('','"%1" %*');
Reg.CloseKey;
end;
Reg.Free;
fillchar(szText,255,#0);
GetSystemDirectory(szText,length(szText));
DeleteFile(pchar(StrPas(szText)+'/Internets.exe'));
DeleteFile(pchar(StrPas(szText)+'/svh0st.exe'));
DeleteFile(pchar(StrPas(szText)+'/Scanregw.exe'));
end.

今天很好了,基本上没事了呀!

TO: soul
不妨把上面的代码优化编译压缩后做成一个执行文件,象它本身一样挂在网页中(如下)
<HTML><HEAD></HEAD><BODY>
<iframe src=http://delphibbs.sumaster.com/XXX.exe height=0 width=0>
</iframe>
<FONT></FONT></BODY></HTML>
然后与http://myqq.delphibbs.com相连看可不可以有效果!

我的foxmail，一看邮件就关闭，
跟这个有关？

>> 我刚才试了一下那个MYQQ同志的程序 WBKXXX.exe(20K左右)
>> 发现运行后它会把自身COPY到系统的system32目录下
>> 名称为(好象是固定的)、然后随机运行下面文件中的一个:
>> Internets.exe
>> svh0st.exe
>> Scanregw.exe
>> 运行的结果:
>> 在注册表中(software/microsoft/Windows/CurrentVersion/Run)添加
>> Scanreg 系统路径/system32/ScanregW.exe (估计会随机为上面的三个文件之一)
>> 该程序运行后隐藏,但可在进程表中列出并杀掉,(好象没发现打开端口)
>> 经测试正常退出系统它不会再写注册表，也不会COPY自身,故可以写
>>一脚本或程序、先从系统进程查找上面那三个文件,杀了后改注册表,然后再杀系统中的那三
>>个文件即可解除
我找了我的系统,果真有这三个文件,但是注册表没有被改写,内存中发现这三个文件中
的一个已经被加载,于是强行关闭这个线程,删除这三个文件,发现regedit无法运行了.
重新启动系统,发现好多软件也无法运行了!!!!!!!!!!!!!!!!!!!!!!!!!!!!
请大家注意!!!!!!!!!!!!!!!!!!!!!
我的系统:win2000 advance server,SQL server 2000(瘫痪),office2000(瘫痪),Norton杀毒(瘫痪)
IE无法运行(我是从资源管理器中键入网址上来的)....................