comrepl32是不是木马?

两只小羊

用360查到在c:\windows\system32\drivers\pcibus.sys有comrepl32木马程序,用卡巴和微点都没查到.不知道怎么回事,是不是木马,请问一下.

Graybird

“ARP下载者155648”（Worm.Downloader.p.155648）  威胁级别：★★

    这是一个木马下载者，病毒运行后在 %SystemRoot%\system32\Com\comrepl32.exe目录与 %SystemRoot%\system32\drivers\pcibus.sys目录下释放出病毒文件，并修改注册表，以便随系统自动启动。

    该病毒隐蔽性较高，它在%SystemRoot%\system32\目录下svchost.exe程序的空间内运行病毒程序，隐藏自身。若系统中安装有卡巴斯基，病毒还能将系统时间中的年份修改为2001年，暂时禁用卡巴基斯基，运行完毕后，再将系统时间改回正确的年份。如此一来，用户就更不易发现它的存在。

    确定卡巴斯基“瘫痪”后，病毒便在用户无法知晓的情况下连接网络，从网上下载其它病毒，将它们以conime?.exe文件名的形式保存到%Program Files%\目录下，需要注意的是，病毒名称中的“?”为随机生成的0-9数字，或a-z的小写字母。

    除了在本机上造成危害，该病毒还会向外发送ARP包，对局域网内的计算机进行ARP攻击，并通过ARP攻击传播病毒文件。因此，它在局域网中的危害会更大。

wwqwwq

那个pcibus.sys我传到virus total上面去扫，30多个杀软没有一个报的。所以我的选择是——把360卸了。360最近越来越大，也越来越不好使了。对软件的看法，我一向认为功能越单一越好，越专业越好。

ndd200

楼上错咯。
今天我亲眼看到小红伞也报了pcibus.sys。中的正好是前面说的这个毒。

N个杀软不报就等于没有问题？还有几个明显名字都有问题的dll文件，小红伞不报。呵呵，但是的确是木马，开机就加载，我删了。

[ 本帖最后由 ndd200 于 2007-11-19 10:59 编辑 ]

wwqwwq

哦hoho。不才用的也是小红伞，360报的那个毒小红伞就是不报，不知是何道理。另外，total virus也包括小红伞的引擎。

秋叶濛濛

拉到多引擎扫扫
还不放心去样本区发帖 让大家扫扫看

两只小羊

拉过了,提示都没发现病毒.