Board logo

标题: 两个安全性问题 [打印本页]
作者: yggcwx    时间: 2005-5-30 00:52     标题: 两个安全性问题

  1.登录此网址:https://login.passport.net/ppsecure/uisecure.srf?lc=2052&id=9被强制安装DuDu加速器,除非在安全模式下,否则无论怎样删除它都会自动“重生”。
  注:TW的“安全浏览”启用,仍被强制安装!
  2.使用雕刻兄推荐的工具,查出以下东东,哪位能看看它们是什么,是否可以安全删除?(偶看来看去还是没有删……)先谢过了。
作者: 寄托天下    时间: 2005-5-30 06:57

我访问提示脚本出错!!然后进入msn登陆界面,没有问题啊,没有被强制安装!你是不是中以下病毒了?最好用专业杀毒软件查一下!

[ Last edited by 光猪战士 on 2005-5-30 at 06:58 AM ]
作者: 雕刻时光    时间: 2005-5-30 07:42

同上 我也正常
是因为登陆这个网址被安装的DUDU加速器么
删不掉为何?
去搜索一下网上的专门卸载dudu加速器的小软件吧
作者: red-M    时间: 2005-5-30 08:48

应该可以删除
作者: phoenix    时间: 2005-5-30 10:00

TW的“安全浏览”启用的时候,会过滤ActiveX控件

这个页面打开后转到MSN,未发现问题
作者: blog168    时间: 2005-5-30 14:58

新浪将NMgamex.dll文件与系统启动文件rundll32.exe进行绑定,并且伪造系统文件csrss.exe,
因此建议你用Microsoft Anti-Spyware Beta杀。
目前下载地址:
http://download.microsoft.com/do ... iSpywareInstall.exe

手工杀毒方法
  删除方法:首先修改注册表,关闭名为启动项:nmgamex.dll、csrss.exe,然后删除nmgamex.dll、sinaproc327.exe两个文件,再修改csrss.exe文件为任意一个文件名。从新启动计算机后删除修改的csrss.exe文件。
  本人计算机为WIN2K操作系统,其动项键值如下:
  一:启动名称为:nmgamex_autorun类型:REG_SZ键值:C:\WINNT\system32\Rundll32.exe NMGameX.dll,LiveProcess/aa
  二:启动名称为:csrss.exe类型:REG_SZ键值:C:\WINNT\csrss.exe

文件所在目录:
csrss.exe c:\winnt\csrss.exe; 正确的系统文件目录为:c:\winnt\system32\csrss.exe;
cctv5.exe c:\cctv5.exe;
sinaproc327.exe c:\winnt\system32\sinaproc327.exe;
NMWizardA14.exe c:\winnt\NMWizardA14.exe
nmgamex.dllc:\winnt\system32\nmgamex.dll

[ Last edited by blog168 on 2005-5-30 at 03:11 PM ]
作者: blog168    时间: 2005-5-30 15:20

注意一下,此病毒比DuDu加速器高级,手工杀毒时需要非常小心!
尤其是c:\windows里的csrss.exe(病毒)和c:\windows\system32里的csrss.exe(系统文件)不要搞混了。
rundll32更不能删。
作者: 雕刻时光    时间: 2005-5-30 15:43

欺骗人民的
想在这些方面动手脚
最终会被抛弃
作者: blog168    时间: 2005-5-30 17:01

Originally posted by 雕刻时光 at 2005-5-30 03:43 PM:
欺骗人民的
想在这些方面动手脚
最终会被抛弃

习以为常了,windows系统都是这样脆弱
作者: yggcwx    时间: 2005-5-30 18:38

  谢谢以上各位朋友!这两天比较忙,慢慢说详细些吧。
  也许真的不是那个网页的问题。之所以怀疑它,是因为5月26日前系统里绝对没有dudu的东西(偶经常检查系统的),也从未打开过那个网页;26日忽然想起把msn帐号的密码保护完善一下,当天唯一打开的“新”网页就是它。
  就在这一天,天网实然提示:①是否允许C:\windows\temp\dddupdate.exe访问网络,偶以为是系统中已有的东东,点了允许,结果马上出来:②是否允许C:\Documents and Settings\朋友\local Settings\Temp\ddd20.tmp.esedddupdate.exe访问网络前一个都允许了,这个也允许吧,唉……过了一会儿,又提示:③是否允许C:\Program Files\DuDU\DDDclient\dudupros.exe访问网络……至此,DuDu已经彻底在偶这里生根发芽!
  不管是不是那个网页的问题,有一点很重要:DuDu确实是在偶使用TW且“安全浏览”启用的情况下被安装的。换句话说,最新版的DuDu可以绕过TW的安全浏览机制!希望开发组解决一下。
 
  最新发现:这个玩意在XP安全模式下删除后仍可“复活”!
  upiea发现的那些东东是否可以安全删除啊?blog168谈的应当是第二项吧?

[ Last edited by yggcwx on 2005-5-30 at 06:50 PM ]
作者: 雕刻时光    时间: 2005-5-30 18:44

C:\windows\temp\dddupdate.exe

这个东西
恩 很明显了
不知道什么时候你的电脑被偷偷安装上的
作者: 雕刻时光    时间: 2005-5-30 18:46

全是向3721学的
3721是最开始的始作俑者
无耻到了极点
不知道那帮程序员怎么想的
还居然和微软合作了 微软的中文搜索就用的3721
微软怎么看上它的 我至今不明白
恶心的人总是能够一拍即合
作者: yggcwx    时间: 2005-5-30 18:49

Originally posted by 雕刻时光 at 2005-5-30 18:46:
全是向3721学的
3721是最开始的始作俑者
无耻到了极点
不知道那帮程序员怎么想的
还居然和微软合作了 微软的中文搜索就用的3721
微软怎么看上它的 我至今不明白
恶心的人总是能够一拍即合

  精辟!!!
  3721=新浪=DuDU=无耻!!!!!!!!
作者: yggcwx    时间: 2005-5-30 18:53

  偶的收藏夹里经常自动添加“IT资讯”这样一个文件夹,删了它不知什么时候又会自动跑进去。谁搞的鬼啊?
作者: blog168    时间: 2005-5-30 19:21

不多说什么了
Microsoft Anti-Spyware Beta你试一下吧
http://download.microsoft.com/do ... iSpywareInstall.exe

[ Last edited by blog168 on 2005-5-30 at 07:39 PM ]
作者: phoenix    时间: 2005-5-30 19:37

Originally posted by yggcwx at 2005-5-30 06:53 PM:
  偶的收藏夹里经常自动添加“IT资讯”这样一个文件夹,删了它不知什么时候又会自动跑进去。谁搞的鬼啊?


这个是TheWorld在安装的时候做的
安装版点击下一步的时候有个选项,把收藏夹网址前面的钩去掉就行了,这是目前TheWorld的全部推广资源

绿色版里面没有

关于Dudu,如果不使用恶意代码,它绝对绕不开安全模式的ActiveX过滤
我可以绝对保证,所以我想还是yggcwx的机器上发生了别的问题,比如某个网络软件和它合作了,自动下载安装了它
作者: yggcwx    时间: 2005-5-30 20:03

Originally posted by phoenix at 2005-5-30 19:37:


这个是TheWorld在安装的时候做的
安装版点击下一步的时候有个选项,把收藏夹网址前面的钩去掉就行了,这是目前TheWorld的全部推广资源

绿色版里面没有

关于Dudu,如果不使用恶意代码,它绝对绕不开 ...

   哦……
  那么,大家不妨找个有dudu插件的页面测试一下,看看谁敢以身试“毒”,呵呵……

[ Last edited by yggcwx on 2005-5-30 at 08:05 PM ]
作者: 雕刻时光    时间: 2005-5-30 20:16

Originally posted by phoenix at 2005-5-30 07:37 PM:


这个是TheWorld在安装的时候做的
安装版点击下一步的时候有个选项,把收藏夹网址前面的钩去掉就行了,这是目前TheWorld的全部推广资源

绿色版里面没有

关于Dudu,如果不使用恶意代码,它绝对绕不开 ...


那我支持这个
作者: yggcwx    时间: 2005-5-30 20:44

Originally posted by blog168 at 2005-5-30 19:21:
不多说什么了
Microsoft Anti-Spyware Beta你试一下吧
http://download.microsoft.com/do ... iSpywareInstall.exe

[ Last edited  ...

  多谢!据说以前的版本会删IE呢……后续的似乎解决了。
作者: yggcwx    时间: 2005-5-30 20:46

  全部推广资源是赞助商或广告的意思吗?
  如果是,可以接受--TW很优秀的。
作者: yggcwx    时间: 2005-5-30 20:47

  老大找个有dudu插件的页面测试一下吧……
作者: yggcwx    时间: 2005-5-30 22:16

  有兴趣的话大家试试吧。DuDu能否绕过“安全浏览”,我们不妨都试试再下结论吧。



欢迎光临 世界之窗论坛 (http://bbs.theworld.cn/) Powered by Discuz! 7.2