X星正版企业版本居然被连进800多个病毒，小红伞P版杀700多个剩下残留不杀上报

molicn

提取病毒地点：珠海南屏国土局
杀毒版本：X星正版杀毒2008企业版本 最新病毒库  
客服上报维修时间是中午10点多
C盘system32\以下的注册DLL 有部分被删除 ping.exe command.exe regedit32.exe 全被病毒删除
c盘：explorer被换2007年6月13日 输入法文件被替换
全盘都生成自动播放的病毒
最后本人PE系统里面使用小红伞进行杀毒，除掉700多个 清理助手清理70个注册表残留
exe文件未被感染，host被劫持 镜像也劫持全部比较出名 360和X星文件
病毒还在最奇特地方
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RUN\
这个一般没有run启动的，在这里被启动了哎。说明这个病毒还真服了他，还给X星 做了手脚
杀完 我还没删除X星目录一进系统就蓝脸给我，
最后在PE系统里面删除x星 才让我恢复system32里面的所有文件！
哎。。。。
献上未被小红伞查收的病毒
此机杀毒用了 反黑辅助syscheck wsyscheck runscanner.exe pe系统，小红伞P版 恶意软件清理助手 sreng skfig2.0 2.8

[ 本帖最后由 molicn 于 2008-3-28 00:08 编辑 ]

sanhu35

红伞pass 上报

aerbeisi

里面垃圾很多。

tanlimo

ess扫描日志
病毒库版本: 2978 (20080327)
日期: 2008-3-28  时间: 0:14:04
已扫描的磁盘、文件夹和文件: D:\Documents and Settings\ess\桌面\MOLICN.rar
D:\Documents and Settings\ess\桌面\MOLICN.rar > RAR > s09.exe > NSIS > pciloader.exe -
Win32/TrojanDownloader.QQHelper.NEZ 特洛伊木马 的变种
D:\Documents and Settings\ess\桌面\MOLICN.rar > RAR > s09.exe > NSIS > d03.exe > NSIS
> cpush.dll - Win32/Adware.Cinmus 应用程序 的变种
已扫描的对象数: 11
发现的威胁数: 2
完成时间: 0:14:16  总扫描时间: 12 秒 (00:00:12)

病毒库版本: 2978 (20080327)
日期: 2008-3-28  时间: 0:14:45
已扫描的磁盘、文件夹和文件: D:\Documents and Settings\ess\桌面\MOLICN1.rar
已扫描的对象数: 16
发现的威胁数: 0
完成时间: 0:14:47  总扫描时间: 2 秒 (00:00:02)

病毒库版本: 2978 (20080327)
日期: 2008-3-28  时间: 0:15:56
已扫描的磁盘、文件夹和文件: D:\Documents and Settings\ess\桌面\MOLICN2.rar
D:\Documents and Settings\ess\桌面\MOLICN2.rar > RAR > rCWXAPfgUN_7446 > NSIS > 15.sys - 已损坏的压缩文件
D:\Documents and Settings\ess\桌面\MOLICN2.rar > RAR > L7LjOKThA2_7446 > NSIS > 15.sys - 读取压缩文件时出错
D:\Documents and Settings\ess\桌面\MOLICN2.rar > RAR > g1VyWYv55b_7446 > NSIS > 22.sys - 读取压缩文件时出错
已扫描的对象数: 20
发现的威胁数: 0
完成时间: 0:16:04  总扫描时间: 8 秒 (00:00:08)

没有细看，随便扫扫

0day

不是说红伞无敌的吗？

[ 本帖最后由 0day 于 2008-3-28 20:52 编辑 ]

mofunzone

robin_xx的马甲？

挪威的冬天

金山华丽的 MISS

HC303

Begin scan in 'E:\Virus Test\MOLICN1.rar'
Begin scan in 'E:\Virus Test\MOLICN2.rar'
Begin scan in 'E:\Virus Test\MOLICN.rar'
E:\Virus Test\MOLICN.rar
  [0] Archive type: RAR
  --> s09.exe
      [DETECTION] Contains detection pattern of the dropper DR/BHO.Aim.10
      [WARNING]   The file was ignored!
红伞有两个包没报。

[ 本帖最后由 HC303 于 2008-3-28 08:13 编辑 ]

taiw_1144

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.407\S09.EXE
病毒程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\INF\PCILOADER.EXE
2) C:\WINDOWS\INF\PCILOADER.EXE
3) C:\WINDOWS\INF\PCIDEVICES8.INF
4) C:\WINDOWS\SYSTEM32\INF\D03.EXE
5) C:\PROGRAM FILES\COMMON FILES\CPUSH\UNINST.EXE
6) C:\PROGRAM FILES\COMMON FILES\CPUSH\CPUSH.DLL
是否删除木马程序及其衍生物?

发现未知木马,是否删除?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\MOLICN1\7.EXE
病毒程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\DRIVERS\ACPIDISK.SYS
是否删除木马程序及其衍生物?

[ 本帖最后由 taiw_1144 于 2008-3-28 08:53 编辑 ]

sinnl

X星好强悍