AUTO病毒变种

显示全部楼层 · 发表于 2007-12-19 01:01:42

最近学校很多同学中了所谓的“AUTO病毒变种”，具体现象是进程里面多了两个用户的LSASS.EXE和SMSS.EXE进程，在System32\Com下面生成的隐藏文件：LSASS和SMSS。用了冰刃，QQKAV,HIJACKTHIS这些都看不到，结束不了进程，安全模式进不去，隐藏文件看不见，最后还是Wsyscheck 帮我结束了进程，安上红伞扫描，所有的EXE文件已经受感染，系统出现不可修复的5个错误，最后只有重装。同学以前安的卡巴7.0，杀不掉，后来换NOD32 V2.7版本，再次中毒了，还是红伞帮忙清除了。但是受损的系统文件已经不能被修复了。我想请教一下，怎么防御这个病毒？
对了，同学安的NOD32＋彩影的ARP墙V5.0+360＋USBKILLER,只是在用360下载补丁的时候就中毒，估计是受ARP欺骗把病毒下载下来了。
下面是下午把样本传到 VIRUS TOTAL扫描的结果：
Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/Agent.dzc.2
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Trojan.Pinx.A
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - W32 BHO.A.gen!Eldorado
F-Secure - - Virus.Win32.Xorer.ca
Ikarus - - -
Kaspersky - - Virus.Win32.Xorer.ca
McAfee - - -
Microsoft - - -
NOD32v2 - - Win32/Small.NBU
Norman - - -
Panda - - Suspicious file
Prevx1 - - Heuristic: Suspicious Self Modifying File
Rising - - -
Sophos - - Mal/Packer
Sunbelt - - VIPRE.Suspicious
Symantec - - W32.Pagipef.I!inf
TheHacker - - -
VBA32 - - -
VirusBuster - - Packed/FSG
Webwasher-Gateway - - Trojan.Agent.dzc.2
Additional information
MD5: d64e7678d6c2e3c42f7c304a04746626

附件是病毒样本，建议卡巴的用户不要轻易试验。

显示全部楼层 · 发表于 2007-12-19 01:07:57

老鹰报已知，没看头

显示全部楼层 · 发表于 2007-12-19 01:40:09

已删除：病毒 Virus.Win32.Xorer.ca 文件: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\COM\COM\SMSS.EXE//FSG

显示全部楼层 · 发表于 2007-12-19 02:04:18

Start of the scan: 2007年12月19日  02:03

Starting the file scan:

Begin scan in 'K:\Com.rar'
K:\Com.rar
  [0] Archive type: RAR
  --> Com\LSASS.EXE
   [DETECTION] Is the Trojan horse TR/Agent.dzc.2
  --> Com\SMSS.EXE
   [DETECTION] Is the Trojan horse TR/Agent.dzc.2
   [INFO]    A backup was created as '47d50bf0.qua'  ( QUARANTINE )
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2007-12-19 11:41:00

红伞发出滴滴的声音。。。。。。

显示全部楼层 · 发表于 2007-12-19 11:53:16

费尔

显示全部楼层 · 发表于 2007-12-19 11:55:02

已检测到: 病毒 Virus.Win32.Xorer.ca URL: http://bbs.kafan.cn/attachment.php?aid=170734//Com/SMSS.EXE//FSG
卡巴何惧之有？

显示全部楼层 · 发表于 2007-12-19 12:01:34

怎么防御？提交你的样本到你用的杀软厂商即可防御
再装个auto专杀或者HIPS

显示全部楼层 · 发表于 2007-12-19 14:55:11

我之前也中了这个毒啊,不过好像没LZ的那样麻烦,后来卡巴更新之后已经把它杀了啊
PS:我也想知道要怎么预防或者杀这个毒啊

最近好像真的很多同学(包括我自己)也中这个毒了

[ 本帖最后由 hyacinth 于 2007-12-19 16:41 编辑 ]

显示全部楼层 · 发表于 2007-12-19 14:59:43

感染的:病毒 Virus.Win32.Xorer.ca C:\Documents and Settings\new\桌面\Com.rar 176.3 KB

[病毒样本] AUTO病毒变种

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源