同学的U盘病毒。。瞬间秒杀kis7。。。郁闷

taiw_1144

病毒名称:Virus.Win32.Xorer.ze

程序:
G:\样本\样本111\样本\PAGEFILE.PIF
是病毒程序!
已成功阻止其运行,是否要删除此文件?

冷冷

0000C0A0   0040C0A0      0   SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

0000C118   0040C118      0   Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
0000C154   0040C154      0   SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
0000C1A0   0040C1A0      0   SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
0000C1FC   0040C1FC      0   SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
0000C254   0040C254      0   SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
0000C2B0   0040C2B0      0   SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

0000C328   0040C328      0   Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
0000C36C   0040C36C      0   kmailmon
0000C378   0040C378      0   guard
0000C388   0040C388      0   kissvc
0000C390   0040C390      0   watch
0000C39C   0040C39C      0   twister
0000C3AC   0040C3AC      0   KeServiceDescriptorTable
0000C3C8   0040C3C8      0   ntdll.dll
0000C3D4   0040C3D4      0   NtQuerySystemInformation
0000C3F0   0040C3F0      0   \\.\NetApi000DOS
0000C404   0040C404      0   NetApi000
0000C418   0040C418      0   Install
0000C43C   0040C43C      0   cmd.exe%c%c%c%c%c%c%c%c%c%c%c%c
0000C460   0040C460      0   " -r -inul -ibck -y
0000C47C   0040C47C      0   \bak\

0000C528   0040C528      0   ##vso##
0000C530   0040C530      0   avast
0000C55C   0040C55C      0   AfxControlBar42s
0000C570   0040C570      0   tapplication
0000C588   0040C588      0   antivir
0000C590   0040C590      0   ThunderRT6Timer
0000C5A0   0040C5A0      0   thunderrt6formdc
0000C5C0   0040C5C0      0   thunderrt6main
0000C5E0   0040C5E0      0   mcafee
0000C5FC   0040C5FC      0   facelesswndproc
0000C60C   0040C60C      0   bitdefender
0000C618   0040C618      0   ewido
0000C628   0040C628      0   #32770
0000C630   0040C630      0   monitor
0000C648   0040C648      0   mcagent
0000C650   0040C650      0   escan
0000C658   0040C658      0   firewall
0000C664   0040C664      0   dr.web
0000C66C   0040C66C      0   metapad
0000C674   0040C674      0   mozillauiwindowclass
0000C68C   0040C68C      0   cabinetwclass
0000C69C   0040C69C      0   ieframe
0000C6A4   0040C6A4      0   diskgen
0000C6AC   0040C6AC      0   dummycom
0000C6B8   0040C6B8      0   xorer
0000C6C8   0040C6C8      0   pagefile.pif
0000C6D8   0040C6D8      0   smss.exe
0000C6E4   0040C6E4      0   lsass.exe
0000C700   0040C700      0   explorer.exe
0000C710   0040C710      0   %s\%s.%d.exe
0000C720   0040C720      0    /c del /F /Q "
0000C730   0040C730      0   cmd.exe
0000C740   0040C740      0   %c%c%c%c%c%c%c%c
0000C754   0040C754      0   alg.exe
File pos   Mem pos      ID   Text
========   =======      ==   ====
0000C75C   0040C75C      0   drivers
0000C76C   0040C76C      0   %s:\boot.ini
0000C790   0040C790      0   \driver
0000C798   0040C798      0   %s\%d.log
0000C7AC   0040C7AC      0   %s\037589.log
0000C7C0   0040C7C0      0   orun.inf
0000C7CC   0040C7CC      0   le.pif
0000C7E8   0040C7E8      0   %s\dnsq.dll
0000C7F8   0040C7F8      0   BlaipbofF
0000C804   0040C804      0   regsvr32.exe
0000C814   0040C814      0   cfg.dll /s
0000C830   0040C830      0   \netcfg.dll
0000C83C   0040C83C      0   fg.000
0000C844   0040C844      0   \netc
0000C854   0040C854      0   xcgucvnzn
0000C860   0040C860      0   %s.exe
0000C870   0040C870      0   .exe.log
0000C87C   0040C87C      0   SOFTWARE\Policies\Microsoft\Windows\Safer
0000C8A8   0040C8A8      0   SeShutdownPrivilege
0000C8BC   0040C8BC      0   %s.%d.exe
0000C8C8   0040C8C8      0   KSysCall
0000C8D4   0040C8D4      0   EQService
0000C8E0   0040C8E0      0   HookSys
0000C8E8   0040C8E8      0   McShield
0000C8F4   0040C8F4      0   tmmbd
0000C8FC   0040C8FC      0   PAVSRV
0000C904   0040C904      0   SymEvent
0000C918   0040C918      0   KWatchSvc
0000C92C   0040C92C      0   AntiVirService
0000C93C   0040C93C      0   MPSVCService
0000C94C   0040C94C      0   SYSTEM\CurrentControlSet\Services\
0000C970   0040C970      0   SeDebugPrivilege
0000C98C   0040C98C      0   %s\NetApi000.sys
0000C9A0   0040C9A0      0   %s\00302.log
0000C9B0   0040C9B0      0    /e /t /g Everyone:F
0000C9C8   0040C9C8      0   cacls.exe
0000C9D8   0040C9D8      0    /e /t /g
0000C9E4   0040C9E4      0   cmd.exe /c echo ok
0000C9F8   0040C9F8      0   \winrar.exe
0000CA04   0040CA04      0   \rar.exe
0000CA10   0040CA10      0   \shell\open\command
0000CA24   0040CA24      0   WinRAR
0000CA38   0040CA38      0   Applications\iexplore.exe\shell\open\command
0000CA68   0040CA68      0   Common Startup
0000CA78   0040CA78      0   Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

0000CB20   0040CB20      0   pagefile.exe
0000CB38   0040CB38      0   %s\%s
0000CB40   0040CB40      0   %s\com
0000CB64   0040CB64      0   Program
0000CB70   0040CB70      0   '></sCrIpT>
0000CB7C   0040CB7C      0   <ScRiPt src='
0000CB8C   0040CB8C      0   "></script>
0000CB98   0040CB98      0   <script src="
0000CBA8   0040CBA8      0   http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70
0000CBEC   0040CBEC      0    Application
0000CC04   0040CC04      0    Program
0000CC1C   0040CC1C      0   MSCTFIME

0000CCC0   0040CCC0      0   cmd.exe /c del /F /Q "
0000CCD8   0040CCD8      0   shell\explore\Command=pagefile.pif
0000CCFC   0040CCFC      0   shell\explore=
0000CD1C   0040CD1C      0   shell\open\Default=1
0000CD34   0040CD34      0   shell\open\Command=pagefile.pif
0000CD54   0040CD54      0   shell\open=
0000CD68   0040CD68      0   open=pagefile.pif
0000CD7C   0040CD7C      0   [AutoRun]
0000CD88   0040CD88      0   AUTORUN.INF

Redevil

呵呵，连标题都和我之前起得一样

今取现在

原帖由 wangjay1980 于 2008-3-17 22:06 发表
卡巴7主防防不了，但是已经加了启发，启发就可以杀

你这个更别提了，已知deleted: virus Virus.Win32.Xorer.eu        File: C:\Documents and Settings\Owner\×&Agrave;&Atilde;&aelig;\&Ntilde;ù±&frac34;11 ...

这样的阿，我是挂另外一个硬盘，再用卡巴杀的，不过庆幸的是杀掉了

今取现在

原帖由 Redevil 于 2008-3-17 22:09 发表
呵呵，连标题都和我之前起得一样

晕，要高考了，好久没有来卡饭玩乐，今天难得上报以下，原来有人比我先了，哎~~~

Redevil

原帖由 今取现在 于 2008-3-17 22:11 发表



这样的阿，我是挂另外一个硬盘，再用卡巴杀的，不过庆幸的是杀掉了

嘿嘿
有点小题大作了
用个专杀
即使是打开就被关闭的专杀也能用的
秘诀就是快
打开后立刻按空格
10分钟搞定

The EQs

水一下，eset更新了磁碟机，不过不是报的Xorer。。。。。。

stonejr

卡巴的主防也顶不住磁碟机,看来FS的系统控制也顶不住,以前说过FS的系统控制防不住,还不信了.看来还得跟EQ取取经..

yjwfn502

还好，没过微点

capsshift

楼上这那么多人用红伞扫了，我还要是来一下。

Begin scan in 'C:\virus\样本111.rar'
C:\virus\样本111.rar
  [0] Archive type: RAR
  --> &Ntilde;ù±&frac34;\AUTORUN.INF
      [DETECTION] Is the Trojan horse TR/Harnig.WA
  --> &Ntilde;ù±&frac34;\pagefile.pif
      [DETECTION] Is the Trojan horse TR/Drop.Xorer.C
      [WARNING]   The file was ignored!