MSE全盘扫出来LPK.DLL

sun1451

全盘扫了三四个小时扫出来lpk.dll，说是特洛伊木马，在一个压缩包里面，我在网上搜了下说 c:\windows\system32这个目录下是系统的，我在计算机里面搜索然后出来好几个，位置不对但好像都有微软的签名，只有一个在winsxs文件夹下BAKUP里面的不是，下面贴图，我还在网上下了个专杀扫了一遍，不知道还有没有，剩下这几个我不知道是不是特来求助下  从上往下 4-10除了位置不一样其他都一样都有微软签名，图片snap7和snap8这两个看着签名不是微软的

那时、那景

上传火眼或者将样本上传到样本区吧

飞霜流华

你全盘搜索找这么多干嘛，直接看查杀记录定位到文件不就行了

sun1451

飞霜流华 发表于 2013-1-31 21:07
你全盘搜索找这么多干嘛，直接看查杀记录定位到文件不就行了

看到网上说这个病毒很麻烦会在每个文件夹下创建文件，甚至是压缩包里也会，就全盘搜下，

飞霜流华

sun1451 发表于 2013-1-31 22:33
看到网上说这个病毒很麻烦会在每个文件夹下创建文件，甚至是压缩包里也会，就全盘搜下，

网上说什么的都有

你都全盘扫描过了，既然已经全扫到了，那么，又何必再全盘搜索一遍？

哥舒夜带刀

MSE应该不会误报的吧

sun1451

哥舒夜带刀 发表于 2013-1-31 22:56
MSE应该不会误报的吧

不知道MSE扫出来的都在其他盘符我存放软件的里面，有的在文件夹下，有的在压缩包里面……

sun1451

飞霜流华 发表于 2013-1-31 22:35
网上说什么的都有

你都全盘扫描过了，既然已经全扫到了，那么，又何必再全盘搜索一遍？

开始用MSE时候来这里时学习，看到大神们说MSE误报率低，但查杀率也低，感觉就是以系统运行为基本要务，宁可漏过不能冤枉……

峪飞鹰

压缩包里面的那个可能是木马，其他的不是。

Windows\winsxs 目录是一个更新文件备份目录，但是它不仅仅是备份。比如，某个更新使用了一个版本的dll文件，那么会在Windows\winsxs目录下创建子目录存放新dll（就是 你看到的x86_microsoft-windows-gdi_xxxxxxx这样的目录），随后，用硬连接的方式，把winsxs目录下的文件硬链接到system32下，这样，虽然这2个目录里面有2个同名文件，但在磁盘上只占用一个文件的空间。所以别轻易动winsxs下的文件。

既然mse报告lpk.dll病毒，那么它应该不是误报。而您的系统中windows和winsxs目录 也会被mse监控，所以如果这里有病毒，mse早就报告了。既然没报告，那么这里就应该都不是病毒。而压缩包里面的报告应该是无误的，只是没有被使用，所以没有感染机器。

lpk.dll会在每个目录下生成副本，如果您的电脑染毒了，那么除开windows\system32，windows\winsxs之外，应该还有很多其他的目录中有该文件（比如program files下的目录），而这个现象并未发生，所以判断您的电脑是安全的。压缩包内的病毒并未被释放出来。

sun1451

峪飞鹰 发表于 2013-2-1 10:06
压缩包里面的那个可能是木马，其他的不是。

Windows\winsxs 目录是一个更新文件备份目录，但是它不仅仅是 ...

呼呼，好的，谢谢你……我就不管他们了