[c90f26]KillFile一个，仅Prevx报，伪卡巴，删ntldr

IllusionWing

文件名称 :	avp.exe
文件大小 :	200768 byte
文件类型 :	MS-DOS executable (EXE), OS/2 or MS Windows
MD5 :	c90f26c3834348c0d979d5c490a40ded
SHA1 :	f38154ef5a623d06b14131e1b651c72b2a9766b7

扫描结果

扫描结果 :	3%的杀软(1/36)报告发现病毒
时间 :	2007/12/01 12:23:20 (CST)

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	时间
a-squared	3.0.0.126	2007.11.28	2007-11-28	-	2.989
AntiVir	7.6.0.35	7.0.1.31	2007-11-30	-	2.028
Arcavir	1.0.4	200711301332	2007-11-30	-	1.325
AVAST	1.0.8	071130-0	2007-11-30	-	3.042
AVG	7.5.49.442	269.16.10/1160	2007-11-29	-	1.772
BitDefender	7.60825.957395	7.16046	2007-12-01	-	3.422
CA (VET)	9.0.0.143	31.3.5340	2007-12-01	-	0.735
ClamAV	0.91.2	4966	2007-12-01	-	0.242
Comodo	2.11	2.0.0.359	2007-11-30	-	0.808
CP Secure	1.1.0.655	2007.12.01	2007-12-01	-	4.868
Dr.WEB	4.44.0.9170	2007.11.30	2007-11-30	-	3.255
ewido	4.0.0.2	2007.11.30	2007-11-30	-	2.335
F-PROT	4.4.1.52	20071130	2007-11-30	-	1.296
F-SECURE	5.51.6100	2007.11.29.09	2007-11-29	-	2.869
IKARUS	T3.1.01.15	2007.11.26.69895	2007-11-26	-	1.228
MKS_VIR	2.01	2007.12.01	2007-12-01	-	2.448
NOD32	2.70.10	2696	2007-11-30	-	0.033
NORMAN	5.91.08	5.90	2007-11-29	-	4.261
nProtect	2007-11-30.00	1073276	2007-11-30	-	8.220
Prevx	V2	20071201	2007-12-01	TROJAN.DOWNLOADER.GEN	24.859
QuickHeal	9.00	2007.11.30	2007-11-30	-	2.214
SOPHOS	2.49.1	4.21	2007-12-01	-	3.877
The Hacker	6.2.9	v00146	2007-11-30	-	0.662
VBA32	3.12.2.5	20071130.0658	2007-11-30	-	0.832
ViRobot	20071129	2007.11.29	2007-11-29	-	0.395
VirusBuster	4.3.19:9	9.115.15/11.0	2007-11-30	-	1.083
卡巴斯基	5.5.10	2007.12.01	2007-12-01	-	5.001
安博士V3	2007.11.29.00	2007.11.29	2007-11-29	-	0.934
江民杀毒	10.00.650	2007.11.30	2007-11-30	-	1.087
熊猫卫士	9.04.03.0001	2007.11.30	2007-11-30	-	2.699
瑞星	19.0	20.20.41.00	2007-11-30	-	1.270
赛门铁克	1.3.0.24	20071130.003	2007-11-30	-	0.233
趋势	8.500-1001	4.856.17	2007-11-30	-	0.041
迈克菲	5.2.00	5174	2007-11-29	-	1.057
金山毒霸	2007.6.20.249	2007.11.30	2007-11-30	-	0.675
飞塔	2.81-3.11	8.438	2007-11-30	-	1.922

[ 本帖最后由 gankeyu 于 2007-12-1 12:42 编辑 ]

残缺的唯美

运行了下  没可疑



这个貌似就是卡巴的文件 好像是绿色版里面的

IllusionWing

从代码看它会删除c:\ntldr

a256886572008

刪了ntldr有何用處

袋鼠吱吱

NTLDR文件是win nt/win200/WinXP的引导文件，当此文件丢失时启动系统会提示"NTLDR is missing..."并要求按任意键重新启动，不能正确进入系统 。所以应该在系统正常的时候给予备份。

NTLDR文件是做什么的？我们如何来修复NTLDR文件类型的故障呢？

NTLDR文件的是一个隐藏的，只读的系统文件，位置在系统盘的根目录，用来装载操作系统。

一般情况系统的引导过程是这样的： 代码

1、电源自检程序开始运行

2、主引导记录被装入内存，并且程序开始执行

3、活动分区的引导扇区被装入内存

4、NTLDR从引导扇区被装入并初始化

5、将处理器的实模式改为32位平滑内存模式

6、NTLDR开始运行适当的小文件系统驱动程序。

小文件系统驱动程序是建立在NTLDR内部的，它能读FAT或NTFS。

7、NTLDR读boot.ini文件

8、NTLDR装载所选操作系统 *如果NT/XP被选择,，

NTLDR运行Ntdetect.com 对于其他的操作系统，

NTLDR装载并运行Bootsect.dos然后向它传递控制。

windows NT过程结束。

9.Ntdetect.com 搜索计算机硬件并将列表传送给NTLDR，以便将这些信息写进HKE Y_LOCAL_MACHINEHARDWARE中。

10.然后NTLDR装载Ntoskrnl.exe，Hal.dll和系统信息集合。

11.Ntldr搜索系统信息集合，并装载设备驱动配置以便设备在启动时开始工作

12.Ntldr把控制权交给Ntoskrnl.exe，这时,启动程序结束,装载阶段开始


     WindowsXP出现此故障的解决办法     

     当此文件丢失时，我们可以从安装光盘上进行提取，方法是：
1、进入系统故障恢复控制台。
2、转到C盘。
3、输入"copy X：\I386\NTLDR c:\"（说明：X为光驱盘符）并回车，如果系统提示要否覆盖则按下"Y"，之后输入exit命令退出控制台重新启动即可。

     Windows 2003 server出现此故障的解决办法

1. 用Windows 2003的安装盘启动电脑，进入Windows 2003 Server的安装界面；　　
2. 界面提示“要修复Windows 2003 server的安装，请按R”，按R键继续；3. 屏幕出现故障恢复控制台提示“C:\Winnt，要登录到哪个Windows 2003安装（要取消，请按Enter）？”，在此键入“1”，然后按Enter键；　　
4. 键入管理员密码，然后按Enter键；　　
5. 键入Copy H:\WIN2003\ENT\I386\Ntldr c:\，按ENTER键（注：我使 用的光盘是Windows 2003二合一光盘，如果是其他的安装盘，可以使用搜索命令查找一下ntldr文件的位置，一般在i386目录下。“h:”为 我的光盘驱动器号）,如果系统提示您是否覆盖文件，键入Y，然后按Enter键。

scottxzt

程序:
C:\DOCUMENTS AND SETTINGS\DELL\桌面\AVP.EXE
是可疑程序!
试图删除关键系统文件!
是否阻止该进程继续运行?程序:
C:\DOCUMENTS AND SETTINGS\DELL\桌面\AVP.EXE
是否删除病毒程序及其衍生物?

qigang

RX20.20.52未杀。

flykiss

只是删除  Ntldr  应该算是恶意程序吧~~

sam.to

kis7不报，已上报

sam.to

Hello,

avp.exe_

No malicious code was found in this file.

Please quote all when answering.

--
Best regards, Namestnikov Yury
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.