呼呼，过卡吧，NOD32，瑞星报

shuaizhujie

诺顿2007不报

Graybird

---------------------------------------------------------
ewido anti-spyware - 扫描报告
---------------------------------------------------------

+ 创建时间:        10:30:18 2007-12-30

+ 扫描结果:       



E:\clhmjlf.rar/clhmjlf.exe -> Heuristic.Win32.AVKiller : 已忽略..


::报告结束

报启发~

asraena

红伞
Begin scan in 'C:\Documents and Settings\Administrator\桌面\clhmjlf.rar'
C:\Documents and Settings\Administrator\桌面\clhmjlf.rar
  [0] Archive type: RAR
  --> clhmjlf.exe
      [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
      [INFO]      The file was deleted!

pan66000

微点怎么在文件都生成了才报？我认为在检测到病毒试图生成文件的时候应该阻止并报告。

yangpizhi

-----------------------------SCAN REPORT-----------------------------
F-PROT Antivirus for Windows

Antivirus Scanning Engine version number: 4.4.2
Virus signature file from: 2007-12-30, 0:17

Scan name: [Custom Scan]
Path to scan: C:\样本 yangpizhi\clhmjlf.rar

Normal scan
Also scan: Inside subfolders, Compressed files, Streams

Scan started: 2007-12-30, 19:37:22
---------------------------------------------------------------------

[Found possible security risk]         <W32/Heuristic-162!Eldorado (not disinfectable)>        C:\样本 yangpizhi\clhmjlf.rar->clhmjlf.exe->(Klone.AF)->(NSPack)
[Contains infected objects]        C:\样本 yangpizhi\clhmjlf.rar
[Quarantined]        C:\样本 yangpizhi\clhmjlf.rar->clhmjlf.exe->(Klone.AF)->(NSPack)

---------------------------------------------------------------------
Scan ended:        2007-12-30, 19:37:24
Duration:        0:00:02

Scan result:

Scanned files:                 1
Infected objects:         1
Disinfected objects:         0
Quarantined files:         1
---------------------------------------------------------------------

吟赏烟霞

今天病毒库的EAV已经杀掉该病毒了

zjh106

eset nod32查出来了啊，没过去啊

8101826

Mcafee2008

thihy

卡巴也报阿。

5551551

原帖由 雪落的瞬间 于 2007-12-26 16:50 发表
虚礼机 加密的晕死，没注意就跑起来了 ...

杀毒全过程报告如下：


开任务管理器，可看到 ykagbri.exe  shbddfs.exe两个进程，尝试结束进程，任务管理器马上被
关掉。
终于想起来，这不是那天(12月28号)我帮南丹李小军远程杀毒碰到的病毒喽？呵呵，终于见到母体
了。
360被自动关闭。冰刃无法打开（改名为abc也是一样)，打开闪了一下就不见了。
铁门赛克扫描内存无毒。更可笑的是，连我在桌面上新建了一个名为：“病毒表现”的文本，也马
上被关，没法打开，改名为表现,才没事。编辑一个名为“结束进程.bat”文件，也马上被关。
运行1结束.bat
cd\
ntsd -c q -p 2792
ntsd -c q -p 2732
ntsd -c q -p 3888
tskill ykagbri.exe
tskill shbddfs.exe
tskill conime.exe

attrib -a -s -r -h autorun.inf
del autorun.inf /f
d:
attrib -a -s -r -h autorun.inf
del autorun.inf /f
e:
attrib -a -s -r -h autorun.inf
del autorun.inf /f
f:
attrib -a -s -r -h autorun.inf
del autorun.inf /f
冰刃可以打开了。想运行360，一打开，闪了一下，还是不行，我知道病毒又被激活了，看了一下
，果然。又运行一次1结束.bat，却发现不灵了，查了一下，发现是PID变了，把三项改为
ntsd -c q -p 612
ntsd -c q -p 3388
ntsd -c q -p 2796
运行，果然杀掉。

然后把注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options项全删，导入之前备份的.reg文件。此时安全软件全部可以打开了。
发现还是开不了隐藏文件，一看，原来少了“隐藏受保护的操作系统文件（隐藏）”这一项。郁闷
。
病毒越来越狡猾，以前很多是采用让用户无法选择“显示所有文件和文件夹”来达到隐藏病毒自己
的目的，现在又发现新的隐藏方式，通过删除“隐藏受保护的操作系统文件”项，并且把自己注册
为系统文件，来达到隐藏自己的目的。
这样，在“文件夹选项”-“查看”下，就没有了“隐藏受保护的操作系统文件（操作）”选项。
解决办法：
复制下面的内容到记事本，另存为SuperHidden.reg(文件名任意，但后缀名必须是reg)，然后双击
导入注册表（其实就是从别的电脑导出的内容）。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\SuperHidden\Policy\DontShowSuperHidden]
@=""
至此，该病毒全部搞定~~！