Symantec在C;\WINDOWS\TEMP里无限查杀的病毒

显示全部楼层 · 发表于 2008-4-20 02:07:09

无数次杀掉，无数次重现，只好用冰刃杀。

不知道TEMP里的文件是怎么产生，我怎么感觉TEMP里时刻在进行着一种备份呢？

自查系统，简直看不到一点儿问题，很奇怪他是怎么出现的。

显示全部楼层 · 发表于 2008-4-20 02:14:08

McAfee PWS-WOW.gen.a

显示全部楼层 · 发表于 2008-4-20 02:47:58

[Found possible security risk] <W32/Heuristic-114!Eldorado (damaged, not disinfectable)> C:\test\{a738a014-2987-41bb-aaa7-c097c3813990}.rar->{a738a014-2987-41bb-aaa7-c097c3813990}->(UPack)

显示全部楼层 · 发表于 2008-4-20 06:16:52

C:\Documents and Settings\Don johnson\桌面\{a738a014-2987-41bb-aaa7-c097c3813990}.rar » RAR » {a738a014-2987-41bb-aaa7-c097c3813990} - a variant of Win32/PSW.OnLineGames.PBQ trojan

显示全部楼层 · 发表于 2008-4-20 07:59:22

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\{a738a014-2987-41bb-aaa7-c097c3813990}.rar'
C:\Documents and Settings\Administrator\桌面\{a738a014-2987-41bb-aaa7-c097c3813990}.rar
  [0] Archive type: RAR
--> {a738a014-2987-41bb-aaa7-c097c3813990}
   [1] Archive type: OVL
   --> Object
      [DETECTION] Contains suspicious code HEUR/Malware
   [NOTE]    The file was deleted!

显示全部楼层 · 发表于 2008-4-20 08:05:22

文件 _a738a014-2987-41bb-aaa7-c097c381 接收于 2008.04.20 02:02:43 (CET)

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.4.19.0	2008.04.18	-
AntiVir	7.8.0.8	2008.04.18	HEUR/Malware
Authentium	4.93.8	2008.04.19	-
Avast	4.8.1169.0	2008.04.19	-
AVG	7.5.0.516	2008.04.19	-
BitDefender	7.2	2008.04.20	Dropped:Generic.Malware.SBdld.86E54AC3
CAT-QuickHeal	9.50	2008.04.19	(Suspicious) - DNAScan
ClamAV	0.92.1	2008.04.20	PUA.Packed.UPack-2
DrWeb	4.44.0.09170	2008.04.19	-
eSafe	7.0.15.0	2008.04.17	Suspicious File
eTrust-Vet	31.3.5714	2008.04.19	-
Ewido	4.0	2008.04.19	-
F-Prot	4.4.2.54	2008.04.20	W32/Heuristic-162!Eldorado
F-Secure	6.70.13260.0	2008.04.19	W32/Malware
FileAdvisor	1	2008.04.20	-
Fortinet	3.14.0.0	2008.04.19	-
Ikarus	T3.1.1.26.0	2008.04.20	Win32.SuspectCrc
Kaspersky	7.0.0.125	2008.04.20	-
McAfee	5277	2008.04.18	PWS-WoW.gen.a
Microsoft	1.3408	2008.04.20	Trojan:Win32/SystemHijack.gen
NOD32v2	3041	2008.04.19	a variant of Win32/PSW.OnLineGames.PBQ
Norman	5.80.02	2008.04.18	-
Panda	9.0.0.4	2008.04.19	Suspicious file
Prevx1	V2	2008.04.20	-
Rising	20.40.52.00	2008.04.19	-
Sophos	4.28.0	2008.04.19	Mal/Packer
Sunbelt	3.0.1056.0	2008.04.17	-
Symantec	10	2008.04.20	Infostealer.Gampass
TheHacker	6.2.92.285	2008.04.19	W32/Behav-Heuristic-060
VBA32	3.12.6.4	2008.04.16	-
VirusBuster	4.3.26:9	2008.04.19	Packed/Upack
Webwasher-Gateway	6.6.2	2008.04.18	Heuristic.Malware

显示全部楼层 · 发表于 2008-4-20 08:56:41

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\桌面\{A738A014-2987-41BB-AAA7-C097C3813990}.EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\AYWTZWTZ1039.EXE
2) C:\WINDOWS\SYSTEM32\AYWTZWTZ1039.DLL
是否删除木马程序及其衍生物?

程序:

1) C:\WINDOWS\SYSTEM32\AYWTZWTZ1039.EXE
是可疑程序!
试图删除文件!
是否阻止该进程继续运行?

显示全部楼层 · 发表于 2008-4-20 09:40:13

C:\Documents and Settings\Administrator\桌面\{a738a014-2987-41bb-aaa7-c097c3813990}.rar>>{a738a014-2987-41bb-aaa7-c097c3813990} W32.Warezov.p 病毒还未处理

显示全部楼层 · 发表于 2008-4-20 09:54:29

清理临时文件～～关掉系统还原

显示全部楼层 · 发表于 2008-4-20 11:55:24

ESET 3.0.650.0 文件系统实时防护文件 C:\Documents and Settings\chinawro\桌面\{a738a014-2987-41bb-aaa7-c097c3813990} Win32/PSW.OnLineGames.PBQ 特洛伊木马的变种通过删除清除 - 已隔离 NT AUTHORITY\SYSTEM 在应用程序新建的文件上发生事件: D:\Program Files\WinRAR\WinRAR.exe.

[ 本帖最后由 chinawro 于 2008-4-20 11:56 编辑 ]

[病毒样本] Symantec在C;\WINDOWS\TEMP里无限查杀的病毒

本帖子中包含更多资源