刚抓的磁碟机~

显示全部楼层 · 发表于 2008-1-25 13:40:40

Scan Log
Version of virus signature database: 2821 (20080124)
Date: 2008-1-25 Time: 13:40:23
Scanned disks, folders and files: G:\v\Xorer.rar
G:\v\Xorer.rar » RAR » Xorer.exe - a variant of Win32/Xorer virus - was a part of the deleted object
Number of scanned objects: 2
Number of threats found: 1
Time of completion: 13:40:24 Total scanning time: 1 sec (00:00:01)

显示全部楼层 · 发表于 2008-1-25 14:06:20

微点干掉

显示全部楼层 · 发表于 2008-1-25 14:12:10

想下载到虚拟机上试试，被红伞拦截了

显示全部楼层 · 发表于 2008-1-25 14:25:53

不能修复了
文件已经被病毒体覆盖，仅仅是图标不变

UGuard AutoProtect R3Defender v1.9.0 - 开始防护在2008年1月25日14时24分30秒
级别：3，Infected_MD5.exe 试图打开受保护的文件 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat 。 - 允许
级别：6，Infected_MD5.exe 试图打开受保护的文件 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat 。 - 允许
级别：9，Infected_MD5.exe 试图打开受保护的文件 C:\Documents and Settings\Administrator\Cookies\index.dat 。 - 允许
级别：12，Infected_MD5.exe 试图打开受保护的文件 C:\Documents and Settings\Administrator\Cookies\index.dat 。 - 允许
级别：15，Infected_MD5.exe 试图打开受保护的文件 C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat 。 - 允许
级别：18，Infected_MD5.exe 试图打开受保护的文件 C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat 。 - 允许
级别：21，Infected_MD5.exe 试图打开受保护的文件 C:\WINDOWS\system32\00302.log 。 - 允许
级别：24，Infected_MD5.exe 试图打开受保护的文件 C:\NetApi000.sys 。 - 允许
级别：27，Infected_MD5.exe 试图打开受保护的文件 \\.\NetApi000DOS 。 - 允许
级别：30，Infected_MD5.exe 试图删除受保护的文件 C:\NetApi000.sys 。 - 允许
级别：33，Infected_MD5.exe 试图删除受保护的文件 C:\WINDOWS\system32\00302.log 。 - 允许
级别：38，Infected_MD5.exe 试图打开受保护的进程 avp.exe 。 - 允许
级别：42，Infected_MD5.exe 试图终止受保护的进程 avp.exe 。 - 允许
级别：48，Infected_MD5.exe 试图打开受保护的进程 avp.exe 。 - 允许
级别：52，Infected_MD5.exe 试图终止受保护的进程 avp.exe 。 - 允许
信息：在 Infected_MD5.exe 发现可能的 Generic.Invader，级别：52。
级别：58，Infected_MD5.exe 试图打开受保护的进程 UGuarduu.exe 。 - 允许
信息：在 Infected_MD5.exe 发现可能的 Generic.Invader，级别：58。
级别：62，Infected_MD5.exe 试图终止受保护的进程 UGuarduu.exe 。 - 允许
信息：在 Infected_MD5.exe 发现可能的 Generic.Invader，级别：62。
级别：66，Infected_MD5.exe 试图打开受保护的文件 C:\WINDOWS\system32\com\smss.exe 。 - 允许
信息：在 Infected_MD5.exe 发现可能的 Generic.Invader，级别：66。
级别：69，Infected_MD5.exe 试图打开受保护的文件 c:\documents and settings\administrator\桌面\virus\yb\infected_md5.exe 。 - 允许
信息：在 Infected_MD5.exe 发现可能的 Generic.Invader，级别：69。
级别：72，Infected_MD5.exe 试图打开受保护的文件 C:\WINDOWS\system32\com\netcfg.000 。 - 允许
信息：在 Infected_MD5.exe 发现可能的 Generic.Invader，级别：72。
UGuard AutoProtect R3Defender - 进程退出在2008年1月25日14时25分4秒，代码：0

显示全部楼层 · 发表于 2008-1-25 14:28:44

沙盘捉到

显示全部楼层 · 发表于 2008-1-25 14:38:46

应该可以修复的 :-) 我运行过被感染的exe文件出现一个“同文件名.log”的PE文件然后被感染的文件就运行了

显示全部楼层 · 发表于 2008-1-25 14:53:34

搞不定了............跟踪的没兴趣了

显示全部楼层 · 发表于 2008-1-25 14:56:06

被感染的东西被直接删除了无法修复

信息 2008-01-25  14:55:15 您此次查毒共查出7个病毒以及危险代码
信息 2008-01-25  14:55:15 您此次查毒共查了内存模块0个，磁盘引导扇区0个，文件15个
信息 2008-01-25  14:55:15 金山毒霸主程序查毒过程结束，查毒方式：命令行查毒
病毒 2008-01-25  14:55:15 C:\Users\挪威的冬天\Desktop\C.rar\C\WINDOWS\system32\Com\netcfg.000 Win32.Troj.NetvfgT.e.45056 跳过，未处理
病毒 2008-01-25  14:55:15 C:\Users\挪威的冬天\Desktop\C.rar\C\WINDOWS\system32\Com\~ Worm.VcingT.x.102400 跳过，未处理
病毒 2008-01-25  14:55:15 C:\Users\挪威的冬天\Desktop\C.rar\C\WINDOWS\system32\Com\netcfg.dll Win32.Troj.NetvfgT.e.45056 跳过，未处理
病毒 2008-01-25  14:55:15 C:\Users\挪威的冬天\Desktop\C.rar\C\WINDOWS\system32\dnsq.dll Win32.Troj.VcingKeepT.d.23552 跳过，未处理
病毒 2008-01-25  14:55:15 C:\Users\挪威的冬天\Desktop\C.rar\C\WINDOWS\system32\Com\smss.exe Win32.Troj.VcingDrop.le.40960 跳过，未处理
病毒 2008-01-25  14:55:15 C:\Users\挪威的冬天\Desktop\C.rar\C\WINDOWS\system32\Com\lsass.exe Worm.VcingT.x.102400 跳过，未处理
病毒 2008-01-25  14:55:15 C:\Users\挪威的冬天\Desktop\C.rar\C\037589.log Worm.VcingT.x.102400 跳过，未处理

显示全部楼层 · 发表于 2008-1-25 15:32:45

2008-1-25 15:37:25 Kernel File 'E:\virus\Xorer_a7\Xorer_a7\Infected\Clean_MD5.exe' was sent to ESET for analysis.

显示全部楼层 · 发表于 2008-1-25 15:45:39

to ls , 那个clean_md5是正常的 .

Avast 不能修复,没有疑问 ; 可是不保证自己系统感染了xoxer不能修复,因为我已经创建VRDB了.

[病毒样本] 刚抓的磁碟机~

本帖子中包含更多资源

回复 14楼 gankeyu 的帖子

都不能清除

浏览过的版块