中了一个很ＮＢ的毒，帮忙分析下

微点卫士

可能他没有设置报加壳程序

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\教程.EXE
由
E:\AUTORUN.INF
自启动运行!
并生成以下文件:
1) E:\AUTORUN.EXE
2) E:\AUTORUN.INF
以及可由此INF文件引导自启的文件:
E:\AUTORUN.EXE

是否删除木马程序及其衍生物?
从微点杀的生成物看，先手动删除他们吧

[ 本帖最后由 微点卫士 于 2007-10-4 07:54 编辑 ]

29159011

大蜘蛛杀掉

月满楼

这个是楼主自己使用不小心啊，别说瑞星，任何软件在没有运行EXE之前是不会查杀的，好坏和使用习惯有关

禁区之地

楼主说瑞星不断报毒,报的什么毒啊?怎么不抓个图出来让大家看看?

电影结束了

换上NOD32

销售的好

刚刚右键另存已经保毒，不会抓图

FBAV

MicroVita AntiSpyware  
_____________________________________________
                                          
             风暴微塔反间谍
[强力查杀各种Win32位的病毒,木马,蠕虫,恶意软件]                  
                   http://221.10.254.214/
----------------------------------------------
开始扫描……


[C:\Documents and Settings\Administrator\桌面\Virus\jc\教程.Exe]
                    …………发现Spy！报告:[2]
文件信息:  大小:33063  MD5:2cbef55713cad85ec3937bf71818a069


OK  扫描完毕！

jimmyleo

fil那不是报壳么……

woai_jolin

扫描报告
2007年10月4日 10:40:01 - 10:40:02
计算机名称: C3EF58622174424
扫描类型: 扫描目标
目标: G:\v\jc.rar


--------------------------------------------------------------------------------

结果: 找到 1 恶意软件
Trojan-PSW.Win32.QQGame.ai (病毒)
G:\v\jc.rar\教程.Exe




--------------------------------------------------------------------------------

统计信息
已扫描:
文件: 2
未扫描: 0
结果:
病毒: 1
间谍软件: 0
可疑项目: 0
危险软件: 0
操作:
已杀毒: 0
已重命名: 0
删除: 0
已隔离: 0
失败: 0
启动扇区:
已扫描: 0
受感染: 0
可疑项目: 0
已杀毒: 0


--------------------------------------------------------------------------------

选项
定义版本:
病毒: 2007-10-03_06
间谍软件: 2007-10-03_03
扫描引擎:
F-Secure AVP: 7.00.171, 2007-10-03
F-Secure Libra: 2.04.01, 2007-10-03
F-Secure Orion: 1.02.37, 2007-10-03
F-Secure Draco: 1.00.35, 2007-09-17
扫描选项:
扫描所有文件
扫描内部存档
操作:
病毒: 扫描后询问
间谍软件: 扫描后询问

woai_jolin

jiaocheng.Exe : Not detected by Sandbox (Signature: W32/Malware.AYGT)


[ DetectionInfo ]
   * Sandbox name: NO_MALWARE
   * Signature name: W32/Malware.AYGT
   * Compressed: YES

[ General information ]
   * Decompressing UPX.
   * Accesses executable file from resource section.
   * **Locates window "malegebazideq [class NULL]" on desktop.
   * **Locates window "wocaonilaomuq [class NULL]" on desktop.
   * File length:        33063 bytes.
   * MD5 hash: 2cbef55713cad85ec3937bf71818a069.

[ Changes to filesystem ]
   * Deletes file E:\AutoRun.exe.
   * Deletes file C:\Program Files\Internet Explorer\PLUGINS\SysWin74.Jmp.
   * Creates file C:\Program Files\Internet Explorer\PLUGINS\SysWin74.Jmp.
   * Deletes file C:\Program Files\Internet Explorer\PLUGINS\WinSys84.Sys.
   * Creates file C:\Program Files\Internet Explorer\PLUGINS\WinSys84.Sys.



(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.


************************************
Sent from an unmonitored email address.
Please DO NOT reply.
************************************