微点出错

Nblock

2支测测  导致微点572.0048初始化错误  任务管理器无法结束微点的进程 显示“内存分配错误”   ie无法联网  微点出现异常  重启服务后解压已知病毒无报警  对前面记录的特定文件实行视觉隐藏（解压后 文件消失看不见）  查看隔离区原来全被微点自动处理掉了

谁有感染explorer.exe的病毒样本 Backdoor.Win32.Sheldor.l?

安天实验室提醒该病毒可以感染系统文件explorer.exe，在explore.exe尾部加入一个新节，大小为4096个字节，来加载病毒衍生的SysIdt0.dll文件。由于explorer.exe是系统文件，随系统的启动而加载，所以被感染的系统很难清除该病毒。

病毒名称： Backdoor.Win32.Sheldor.l
文件 MD5： D19A46E804D01284A4414CC64A3F8763
文件长度： 69,121 字节

该病毒运行后，衍生病毒副本到系统目录下，修改系统文件explorer.exe以跟随系统引导病毒体。将病毒程序衍生的dll文件载入系统进程中，开放本地后门等待接受远程控制。该病毒通过移动设备传播。

三
1、文件运行后会衍生副本
%System32%\msime.exe        69,121 字节
%System32%\SysIdt0.dll       92,160 字节
%System32%\dirvers\usbk1.sys      2,816 字节
%WinDir%\explorer.exe.img      正常文件
%WinDir%\explorer.exe.idx      正常文件

2、病毒体通过在系统文件explorer.exe文件后添加一个与病毒启动相关的节，继而将病毒体衍生dll文件加载进系统进程中。
3、连接如下地址等待控制：
    Silencegl.51vip.biz （202.103.248.65:8959）
4、从下列地址读取IP
http://www.yoursite.net(69.46.226.170)/ip.txt


[ 本帖最后由 Nblock 于 2008-1-23 14:06 编辑 ]

醉一生爱妍

第2包密码？？？

醉一生爱妍

Nblock

没密码了

ballakay

Scanning Report
23 January 2008 13:13:57 - 13:13:57
Computer name: PUMA-PC
Scanning type: Scan target
Target: C:\Users\Administrator\Desktop\»ÃÓ°rookit_X-Engine.rar C:\Users\Administrator\Desktop\SYSIDT0_BackdoorSheldorp.rar


--------------------------------------------------------------------------------

Result: 1 malware found
Backdoor.Win32.Sheldor.n (virus)
C:\Users\Administrator\Desktop\SYSIDT0_BackdoorSheldorp.rar\SYSIDT0.DLL




--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 5
Not scanned: 0
Result:
Viruses: 1
Spyware: 0
Suspicious items: 0
Riskware: 0
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
Quarantined: 0
Failed: 0
Boot Sectors:
Scanned: 0
Infected: 0
Suspicious items: 0
Disinfected: 0


--------------------------------------------------------------------------------

Options
Definitions version:
Viruses: 2008-01-23_01
Spyware: 2008-01-23_01
Scanning Engines:
F-Secure AVP: 7.00.171, 2008-01-23
F-Secure Libra: 2.04.01, 2008-01-23
F-Secure Orion: 1.02.37, 2008-01-23
F-Secure Draco: 1.00.35, 2007-11-28
Scanning options:
Scan all files
Scan inside archives
Actions:
Viruses: Delete infected files
Spyware: Delete infected files
第一个报了!第二个没反应!

kkgh

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Backdoor.Win32.UAManager.d
病毒： Backdoor.Win32.UAManager.b
病毒： Backdoor.Win32.UAManager.a

用户来源：互联网

软件版本：20.28.20

mofunzone

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\SYSIDT0 BackdoorSheldorp.rar'
C:\Documents and Settings\Administrator\My Documents\
  SYSIDT0 BackdoorSheldorp.rar
    [0] Archive type: RAR
    --> SYSIDT0.DLL
        [DETECTION] Is the Trojan horse TR/Agent.18944.C.2
        [WARNING]   Infected files in archives cannot be repaired!
      [INFO]      The file was deleted!
Begin scan in 'C:\Documents and Settings\Administrator\My Documents\��Ӱrookit X-Engine.rar'
C:\Documents and Settings\Administrator\My Documents\
  ��Ӱrookit X-Engine.rar
    [0] Archive type: RAR
      --> serverVIP.exe
        [1] Archive type: RSRC
        --> Object
            [DETECTION] Is the Trojan horse TR/Agent.18944.C.2
            [WARNING]   Infected files in archives cannot be repaired!
      --> server.exe
        [1] Archive type: RSRC
        --> Object
            [DETECTION] Is the Trojan horse TR/Agent.18944.C.2
            [WARNING]   Infected files in archives cannot be repaired!
      [INFO]      The file was deleted!


End of the scan: 2008年1月22日  21:57
Used time: 00:05 min

The scan has been done completely.

      0 Scanning directories
      5 Files were scanned
      3 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      2 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      2 Files not concerned
      4 Archives were scanned
      3 Warnings
      0 Notes

mofunzone

你这个文件貌似没问题

will

server.exe和servervip.exe是同一个文件…  
真不知道6楼的RS是怎么扫描出三种不同病毒的…

[ 本帖最后由 yimike 于 2008-1-23 14:03 编辑 ]

Nblock

原帖由 garyyan456 于 2008-1-23 13:09 发表

你那支就是感染explorer.exe的病毒样本 Backdoor.Win32.Sheldor.l？ 不是吧