2008流行病毒查杀报告之二——360杀不死的wincom.exe+avp.exe

显示全部楼层 · 发表于 2008-2-19 12:49:29

   网友偭目佺屝qq182848374中了个病毒，说360安全卫士检测出来老是杀不掉，远看了下，确实是这样，不过病毒有进程保护的，当然杀不掉呢。不结束进程，用360杀，杀了两三秒钟又生出来了。（下图一）

   病毒表现：位置在C盘根目录，有个avp.exe和winsys.exe远程结束进程，杀了这两个文件，本以为完事了谁料后来这网友说还有病毒。再一看，原来system32下面还有一个~  名字叫wincom.exe。哈哈，这下一窝端了~把这三个病毒全抓了当样本，呵呵~~

杀完毒之后，本以为没事了，没想到又接到信息说瑞星开不了了，（见下图二）。这瑞星还真是不是一般的垃圾，这样一个垃圾病毒竟让它开法启动了，真是没料到。有点吃惊，以前就知道瑞星不怎么样，只不过没料到垃圾到这般程度~~再一次远程，修复了一下安装文件，又可以启动了。

   样本在下面，大家来测试下。。虽然是小毒，但这个名字听着也挺新鲜的，得让它曝光曝光。

[ 本帖最后由 5551551 于 2008-2-19 12:54 编辑 ]

显示全部楼层 · 发表于 2008-2-19 12:51:59

F:\virus\wincom[1].exe.rar » RAR » wincom.exe.重命名 - Win32/TrojanDownloader.Delf.NUM trojan
F:\virus\样本avp[1].exe.rar » RAR » avp.exe - Win32/Mypis.V virus

2008-2-19 12:56:39 Kernel File 'F:\virus\样本winsys[1].exe.rar' was sent to ESET for analysis.

[ 本帖最后由无尽藏海于 2008-2-19 12:57 编辑 ]

显示全部楼层 · 发表于 2008-2-19 12:52:52

Starting the file scan:

Begin scan in 'E:\Antivir\wincom.exe.rar'
E:\Antivir\wincom.exe.rar
  [0] Archive type: RAR
  --> wincom.exe.ÖØÃüÃû
   [DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen
   [INFO]    The file was deleted!

Starting the file scan:

Begin scan in 'E:\Antivir\��avp.exe.rar'
E:\Antivir\��avp.exe.rar
[0] Archive type: RAR
--> avp.exe
      [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
      [INFO]    The file was deleted!
Begin scan in 'E:\Antivir\��winsys.exe.rar'
E:\Antivir\��winsys.exe.rar
[0] Archive type: RAR
--> winsys.exe
      [DETECTION] Is the Trojan horse TR/Agent.Dein.17408
      [INFO]    The file was deleted!

[ 本帖最后由 Graybird 于 2008-2-19 13:18 编辑 ]

显示全部楼层 · 发表于 2008-2-19 12:53:23

MicroVita AntiSpyware 100 C
_____________________________________________

         风暴微塔反间谍
[强力查杀各种Win32位的病毒,木马,蠕虫,恶意软件]
               http://221.10.254.214/
----------------------------------------------
开始扫描……

正在检查启动……
[C:\Documents and Settings\Administrator\桌面\Virus\wincom\wincom.exe.重命名]
                  …………发现Spy！报告:[2]
文件信息:  大小:37888  MD5:03640a58bdad40373ac23e8dfe553383

文件数:1 病毒数:1  比重:1
OK  扫描完毕！

  ***日志解释
[4] 集中有害分析引擎
[3] 全局系统判断引擎
[2] 文件特征码引擎
[1] 文件启发式引擎

显示全部楼层 · 发表于 2008-2-19 12:56:23

BD报
Trojan.Devisprot.A

显示全部楼层 · 发表于 2008-2-19 12:58:50

[Found possible virus] <W32/Downloader-WebExe-based!Maximus (not disinfectable)> F:\virus\样本avp[1].exe.rar->avp.exe->(UPX)
[Contains infected objects] F:\virus\样本avp[1].exe.rar
[Quarantined] F:\virus\样本avp[1].exe.rar->avp.exe->(UPX)
[Found downloader] <W32/Downloader.C.gen!Eldorado (not disinfectable, generic)> F:\virus\wincom[1].exe.rar->wincom.exe.重命名->(UPX)
[Contains infected objects] F:\virus\wincom[1].exe.rar
[Quarantined] F:\virus\wincom[1].exe.rar->wincom.exe.重命名->(UPX)

---------------------------------------------------------------------
Scan ended: 2008-2-19, 12:57:57
Duration: 0:00:02

Scan result:

Scanned files:    3
Infected objects:    2
Disinfected objects:    0
Quarantined files:    2

显示全部楼层 · 发表于 2008-2-19 13:00:34

IK
I:\virus\February\19\wincom[1].exe\avp.exe - Signature 'BehavesLikeWin32.ExplorerHijack' found
I:\virus\February\19\wincom[1].exe\wincom.exe - Signature 'Virus.Win32.Delf.GXQ' found
I:\virus\February\19\wincom[1].exe\winsys.exe - Signature 'Trojan.Agent.Dein.17408' found

3 Files scanned
(0 Archives with 0 files)
3 Signatures found
0 Suspect code-parts found
Used time: 0:00.281

显示全部楼层 · 发表于 2008-2-19 13:45:22

不应该把隐私都透露出来吧！

显示全部楼层 · 发表于 2008-2-19 13:51:58

红伞没给任何一个面子
全杀

显示全部楼层 · 发表于 2008-2-19 13:53:38

Kaspersky Virus Scanner

Scanned file: 555.rar - Infected
555.rar/?¥»winsys.exe.rar/winsys.exe - OK
555.rar/?¥»winsys.exe.rar/winsys.exe - OK
555.rar/?¥»winsys.exe.rar/winsys.exe - OK
555.rar/?¥»winsys.exe.rar - OK
555.rar/wincom.exe.rar/wincom.exe.ÖØÃüÃû - infected by Trojan-Downloader.Win32.Delf.enm
555.rar/?¥»avp.exe.rar/avp.exe - infected by Worm.Win32.AutoRun.cks

不报的上报

[病毒样本] 2008流行病毒查杀报告之二——360杀不死的wincom.exe+avp.exe

本帖子中包含更多资源