求助!explorer.exe被感染?(已附样本)

绅博周幸

已经提交FS了，免得FS用户跟着卡巴遭殃

天灰

在virscan里扫一个也没报，包括卡巴

VirSCAN.org Scanned Report :
Scanned time   : 2007/12/20 10:50:57 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : explorer.rar
File Size      : 361528 byte
File Type      : RAR archive data, v1d, os
MD5            : a862591b9e9ab60781ee1c69e1c82c77
SHA1           : 4b09ee1cf4ae8da074d11c731753142a6e43f2b3
Online report  : http://virscan.org/report/7a512e43f6945a1abf7f97c2cfd69bb5.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2007.12.19        2007-12-19  4.95   -
安博士V3       2007.12.20.00   2007.12.20        2007-12-20  3.50   -
AntiVir        7.6.0.45        7.0.1.122         2007-12-19  24.71  -
Arcavir        1.0.4           200712191022      2007-12-19  14.35  -
AVAST          1.0.8           071218-0          2007-12-18  23.21  -
AVG            7.5.49.442      269.17.1/1183     2007-12-13  20.96  -
BitDefender    7.60825.961084  7.16384           2007-12-19  0.00   -
CA (VET)       9.0.0.143       31.3.5389         2007-12-20  15.22  -
ClamAV         0.91.2          5179              2007-12-19  7.63   -
Comodo         2.11            2.0.0.378         2007-12-19  3.24   -
CP Secure      1.1.0.655       2007.12.19        2007-12-19  53.69  -
Dr.WEB         4.44.0.9170     2007.12.19        2007-12-19  36.40  -
ewido          4.0.0.2         2007.12.19        2007-12-19  4.89   -
F-PROT         4.4.1.52        20071218          2007-12-18  15.13  -
F-SECURE       5.51.6100       2007.12.19.02     2007-12-19  0.78   -
飞塔           2.81-3.11       8.449             2007-12-03  2.69   -
ViRobot        20071218        2007.12.18        2007-12-18  2.83   -
IKARUS         T3.1.01.15      2007.12.20.70017  2007-12-20  2.63   -
江民杀毒       10.00.650       2007.12.19        2007-12-19  4.39   -
卡巴斯基       5.5.10          2007.12.19        2007-12-19  48.65  -
金山毒霸       2007.6.20.249   2007.12.19        2007-12-19  2.99   -
迈克菲         5.2.00          5188              2007-12-18  13.52  -
MKS_VIR        2.01            2007.12.19        2007-12-19  26.05  -
NOD32          2.70.10         2733              2007-12-19  0.11   -
NORMAN         5.91.08         5.90              2007-12-18  51.76  -
熊猫卫士       9.04.03.0001    2007.12.19        2007-12-19  4.42   -
趋势           8.500-1001      4.898.03          2007-12-19  0.04   -
Prevx          V2              20071220          2007-12-20  6.56   -
QuickHeal      9.00            2007.12.19        2007-12-19  5.32   -
瑞星           19.0            20.23.22.00       2007-12-19  2.17   -
SOPHOS         2.49.1          4.21              2007-12-19  0.00   -
赛门铁克       1.3.0.24        20071218.007      2007-12-18  0.29   -
nProtect       2007-12-20.00   1095818           2007-12-20  7.34   -
The Hacker     6.2.9           v00165            2007-12-19  3.29   -
VBA32          3.12.2.5        20071219.0030     2007-12-19  13.39  -
VirusBuster    4.3.19:9        9.117.7/11.0      2007-12-19  13.48  -

amaz99

另一台电脑已经重装好了,希望是误报吧,谢谢楼上各位!!!

ssyknuwyg

原帖由 amaz99 于 2007-12-20 11:01 发表
现在还是不确定啊,KELE-8123网友要不也传个样本上来,让网友们分析一下
谢谢ssyknuwyg网友的建议,不过XP对于此类系统文件的变更好象有限制的,记得有什么"无法识别版本?的提示",还是无法正常运行的吧

当然是你原来的系统光盘了

绅博周幸

原帖由 天灰 于 2007-12-20 11:02 发表
在virscan里扫一个也没报，包括卡巴

VirSCAN.org Scanned Report :
Scanned time   : 2007/12/20 10:50:57 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : explorer.rar
F ...

卡巴貌似已经修正了误报了，速度真快

main

我没有找到 Worm.Win32.Huhk.c,  但是我找到了Worm.Win32.Huhk.a

我分析了Worm.Win32.Huhk.a  下边的解决方法不一定管用!~

你看看 C:\Documents and Settings\yzy\Local Settings\Temp\orer.exe 有没有这个文件.  这个就是没有被感染的explorer.exe   病毒会把一个干净的explorer.exe拷贝到temp里边.


所以你可以想办法把c:\windows\explorer.exe用ORER.EXE替换~

可以把这个硬盘挂到别的windows系统!~ (进安全模式替换不管用的~ )
或者用XP安装盘的命令行修复~ 用下边这个命令

copy C:\Documents and Settings\yzy\Local Settings\Temp\orer.exe c:\windows\explorer.exe
接着运行:
del C:\WINNT\system32\dllcache\explorer.exe

然后重新启动!

千里同风

与我的同名同版文件比较(FC命令）大小相等，内容出入很大（文本包含偏移量约2M），但我们的浏览器可能本来就不同，建议提取安装源盘同名文件进行比较。

amaz99

原帖由 main 于 2007-12-20 11:04 发表
我没有找到 Worm.Win32.Huhk.c,  但是我找到了Worm.Win32.Huhk.a

我分析了Worm.Win32.Huhk.a  下边的解决方法不一定管用!~

你看看 C:\Documents and Settings\yzy\Local Settings\Temp\orer.exe 有没有这个文 ...

谢谢,找不到此文件

ssyknuwyg

更新下卡巴再看看，楼上的说貌似已经修复

绅博周幸

Hello,

Thank you for the sample that you sent to us.

The file you submitted is clean.
For further sample submissions please use this form:

http://support.f-secure.com/enu/ ... /index_sample.shtml

Have a nice day!

--
F-Secure Security Labs              http://www.f-secure.com/weblog/
F-Secure Corporation                http://www.f-secure.com/
BE SURE.