机房电脑里的四个

JuMin

CLamAV拦截

╅疯狂尐H行H

安博士杀了

weizuoliang

英九

结果: 发现 4 个恶意软件

Trojan.Agent.ANCF (病毒)
C:\Documents and Settings\Administrator\桌面\phpq.dll 操作： 已隔离
Trojan.KillAV.QG (病毒)
C:\Documents and Settings\Administrator\桌面\acpiec.sys 操作： 已隔离
Generic.Malware.P!Tkg.7D4CE4D0 (病毒)
C:\Documents and Settings\Administrator\桌面\func.dll 操作： 已隔离
Trojan.Downloader.Agent.AAPL (病毒)
C:\Documents and Settings\Administrator\桌面\1.exe 操作： 已隔离

myyouxiangxy

诺顿没反应，我手动点扫描才行。。。

真小读者

wqcaokeyinwq 发表于 2013-1-2 15:35
金山云秒杀。。

微点扫描秒杀。。

程序：
C:\PROGRAM FILES\7-ZIP\7ZG.EXE
并生成以下文件：
1) E:\DOWNLOAD\SUSPICIOUS\PHPQ.DLL
2) E:\DOWNLOAD\SUSPICIOUS\1.EXE
3) C:\WINDOWS\SYSWOW64\FUNC.DLL
4) C:\WINDOWS\PHPQ.DLL
5) C:\WINDOWS\SYSWOW64\DRIVERS\PCIDUMP.SYS
6) C:\1.EXE
7) E:\DOWNLOAD\SUSPICIOUS\ACPIEC.SYS
8) E:\DOWNLOAD\SUSPICIOUS\FUNC.DLL
9) C:\AUTORUN.INF
10) C:\1.EXE

程序：
C:\WINDOWS\SYSWOW64\FUNC.DLL
删除失败!

延迟删除文件!

程序：
C:\PROGRAM FILES\7-ZIP\7ZG.EXE
并生成以下文件：
1) C:\WINDOWS\SYSWOW64\FUNC.DLL
2) D:\AUTORUN.INF
3) C:\1.EXE
4) C:\AUTORUN.INF

是否删除木马程序及其衍生物?

微点纯主防秒，但是后面这两个提示反复提示了好多遍。
另一个样本稍后到来。
今天发现纯主防微点有时候回滚会杀掉7Z的右键菜单

wqcaokeyinwq

真小读者 发表于 2013-1-8 15:41
程序：
C:\PROGRAM FILES\7-ZIP\7ZG.EXE
并生成以下文件：

多次提示的情况我遇到过。。


有时候母体在不同的位置释放了好几个类似行为的样本。。。还有就是你点击删除的时候。电脑窗口还一直打开了放样本的那个盘。。样本放在盘里。。删除的同时。。主防还在监控这个窗里的文件。。要是删的慢的话就会报好几次。。。

回滚杀掉7Z的右键菜单？？、我用的好压。。从没遇到过。。。难道是右键被感染了？猜的。

真小读者

wqcaokeyinwq 发表于 2013-1-8 15:46
多次提示的情况我遇到过。。

看第三个提示，是将7Z当成母体了。
点击删除后，从右键菜单解压就会提示错误。但是双击可以打开，也可以解压。

wqcaokeyinwq

真小读者 发表于 2013-1-8 15:48
看第三个提示，是将7Z当成母体了。
点击删除后，从右键菜单解压就会提示错误。但是双击可以打开，也可以 ...

你不会是直接就在解压软件里面直接双击吧。。。



按理说。。那也不应该啊。。。

上报客服问问。。看看是不是误杀。。。

真小读者

wqcaokeyinwq 发表于 2013-1-8 15:52
你不会是直接就在解压软件里面直接双击吧。。。

估计是纯主防的关系。带库情况下没删过，倒是删过360压缩

双击的话，如果多个样本是解压出来测，就一个样本的话我是直接压缩软件里双击的。这次是解压出来测得。

VM001那个样本测完了，去看看吧