紧急！正在帮朋友修理电脑中！发现一可疑程序！

显示全部楼层 · 发表于 2007-9-14 15:30:53

帮我测试一下，在这里手头没有很好的工具！

显示全部楼层 · 发表于 2007-9-14 15:33:20

【NOD】文件 D:\TDDownload\setup.rar 受到可能是Win32/Drowor 病毒的变种感染.

文件名称 :	setup.rar
文件大小 :	13457 byte
文件类型 :	RAR archive data, v1d, os
MD5 :	2edd451a93c88e7aa8b4b2ebbeaa8c24
SHA1 :	7fa4e295d22644c2f84cf5de07320105ac524144

扫描结果 :	63%的杀软(20/32)报告发现病毒
时间 :	2007/09/14 15:34:00 (CST)

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	时间
a-squared	3.0.0.123	2007.09.13	2007-09-13	-	4.037
AntiVir	7.6.0.10	6.39.1.130	2007-09-14	TR/Dldr.Small.GOC.1	2.385
Arcavir	1.0.4	200709131848	2007-09-13	Trojan.Downloader.Agent.Dex	1.245
AVAST	1.0.8	000774-5	2007-09-13	Win32:Agent-ISZ [Trj]	3.053
AVG	7.5.49.442	269.13.18/1007	2007-09-13	-	2.424
BitDefender	7.60825.876893	7.14762	2007-09-14	-	3.343
CA (VET)	8.4.0.24	31.1.5134	2007-09-13	-	0.920
ClamAV	0.91.1	4267	2007-09-14	-	0.424
Comodo	2.11	2.0.0.284	2007-09-14	-	1.112
Dr.WEB	4.33	2007.09.14	2007-09-14	Win32.HLLW.Autoruner.473	5.155
ewido	4.0.0.2	2007.09.13	2007-09-13	-	2.240
F-PROT	4.4.0.50	20070912	2007-09-12	Possible W32/Heuristic-162!Eldorado (damaged, not disinfectable)	1.139
F-SECURE	5.51.6100	2007.09.14.02	2007-09-14	Trojan-Downloader.Win32.Agent.dex	2.638
IKARUS	T3.1.1.12	2007.09.14.69500	2007-09-14	Trojan-PWS.Win32.Small.br	2.052
MKS_VIR	2.01	2007.09.14	2007-09-14	-	3.222
NOD32	2.70.8	2529	2007-09-13	probably a variant of Win32/Drowor virus	0.249
NORMAN	5.91.07	5.90	2007-09-13	W32/Suspicious_U.gen	4.149
nProtect	2007-09-14.00	926088	2007-09-14	-	20.034
QuickHeal	9.00	2007.09.13	2007-09-13	TrojanDownloader.Agent.dex	3.569
SOPHOS	2.49.1	4.21	2007-09-14	Mal/GamePSW-C	2.755
The Hacker	6.2.5	v00058	2007-09-13	W32/Behav-Heuristic-060	0.971
VBA32	3.12.2.4	20070913.0657	2007-09-13	Trojan-Spy.Delf.10 (paranoid heuristics) (suspicious)	1.161
ViRobot	20070913	2007.09.13	2007-09-13	-	0.471
VirusBuster	4.3.19:9	9.105.2/11.0	2007-09-13	Packed/Upack	0.977
卡巴斯基	5.5.10	2007.09.14	2007-09-14	Trojan-Downloader.Win32.Agent.dex	0.050
江民杀毒	10.00.650	2007.09.13	2007-09-13	Trojan/PSW.GamePass.yuo	0.877
熊猫卫士	9.04.03.0001	2007.09.14	2007-09-14	Suspicious file	6.288
瑞星	19.0	19.40.41.00	2007-09-14	-	3.861
赛门铁克	1.3.0.24	20070913.017	2007-09-13	W32.Mumawow.F!inf	5.154
趋势	8.500-1001	4.719.00	2007-09-13	-	1.022
迈克菲	5.2.00	5119	2007-09-13	New Malware.n	1.133
金山毒霸	2007.6.20.249	2007.9.14	2007-09-14	Win32.DroworT.a.126976	1.551

注意: 就算报告发现病毒，也可能是杀软误报，请根据查毒结果自行判断

[ 本帖最后由 qiao7387 于 2007-9-14 15:37 编辑 ]

显示全部楼层 · 发表于 2007-9-14 15:33:22

Start of the scan: 2007年9月14日  00:16

Starting the file scan:

Begin scan in 'D:\setup.rar'
D:\setup.rar
  [0] Archive type: RAR
  --> setup.exe
   [DETECTION] Is the Trojan horse TR/Dldr.Small.GOC.1
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2007-9-14 15:33:59

小a拦截

显示全部楼层 · 发表于 2007-9-14 15:34:40

是个隐藏类型的文件，删除后马上又回来了！

显示全部楼层 · 发表于 2007-9-14 15:36:10

试试用unlock加锁删除

显示全部楼层 · 发表于 2007-9-14 16:13:35

单单删除它肯定没用
肯定有进程一直监视只要删除这个文件就立即重建
找可疑进程
用冰刃

显示全部楼层 · 发表于 2007-9-14 16:14:15

程序:
E:\SETUP\SETUP.EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM\LOGOGO.EXE
2) C:\SETUP.EXE
3) D:\SETUP.EXE
4) E:\SETUP.EXE
是否删除木马程序及其衍生物?

显示全部楼层 · 发表于 2007-9-14 16:18:44

瑞星2008主动防御报报恶意代码

[ 本帖最后由 kp2006 于 2007-9-14 16:22 编辑 ]

显示全部楼层 · 发表于 2007-9-14 16:22:35

Kaspersky Internet Security 7.0
The requested URL http://bbs.kafan.cn/attachment.php?aid=127528 is infected with Trojan-Downloader.Win32.Agent.dex virus

[病毒样本] 紧急！正在帮朋友修理电脑中！发现一可疑程序！

本帖子中包含更多资源

本帖子中包含更多资源

回复 5楼 samancy 的帖子

本帖子中包含更多资源

本帖子中包含更多资源