急！被骗了

jehovah_king

找winrar注册机时看到的，不幸运行了(30s)，小红伞居然不认识。

sandboxie后才看到真相，有hips的帮忙看看行为，我好清理战场
目前我只手工删了web5.exe和一个启动项


ps：1运行后慢慢看，很长时间才会出现一个wav和一个web6.exe
2.谁好心给个安全的winrar3.71?

[ 本帖最后由 jehovah_king 于 2008-11-9 19:04 编辑 ]

尤金卡巴斯基

ClamAV

0.94.1

2008.11.09

Trojan.VB-2815

Panda

9.0.0.4

2008.11.08

Suspicious file

Sophos	4.35.0	2008.11.08	Mal/Emogen-P
Sunbelt	3.1.1785.2	2008.11.08	Net-Worm.Win32.Bobic.k

To KL

3.71没找到，3.80的有
官网下载链接http://rarlab.com/rar/wrar380sc.exe

给楼主一个注册机吧，我一直用的

xi889

File:  winrar.exe  
Status:  INFECTED/MALWARE  
MD5:  ce6ce047524e2de4f25793f70042a95a  
Packers detected:  -

Scanner results  
Scan taken on 09 Nov 2008 10:48:23 (GMT)  
A-Squared  Found nothing
AntiVir  Found nothing
ArcaVir  Found nothing
Avast  Found nothing
AVG Antivirus  Found nothing
BitDefender  Found nothing
ClamAV  Found Trojan.VB-2815  
CPsecure  Found Troj.W32.VB.aia  
Dr.Web  Found nothing
F-Prot Antivirus  Found nothing
F-Secure Anti-Virus  Found nothing
G DATA  Found nothing
Ikarus  Found nothing
Kaspersky Anti-Virus  Found nothing
NOD32  Found nothing
Norman Virus Control  Found nothing
Panda Antivirus  Found nothing
Sophos Antivirus  Found Mal/Emogen-P  
VirusBuster  Found nothing
VBA32  Found nothing

jehovah_king

thanks

yhjtj

Fengyun

看来病毒是创建一个MSINET.OCX 的控件，然后regsvr32注册。并且修改注册表项的。   

楼主可以根据5楼朋友的eq日志来清除

vli

3.71key  :
RAR registration data
Roland Geister
2 PC usage license
UID=35d377df3f9109c0cf98
6412212250cf98ba909aa421df59c2d9bfc2c56fe441d634efdebd
b34590837e4f735ccf2160ad3921ca0a4618e1028035530675182a
9455738d54a57e0ab2d29c2cf0c09f37ac90929aab3444e12e34a2
36753ff101333ca3b035205e5fe287ab57600a54c3dee94d01de64
c598977c4565bc9cfce96f7199d75c1fd8170352555cf8d930f52b
4ccfcc9995943805965eeb92f6adb9fd9d032c1e77e51ffc60e607
4fed6a1f6e6cc09f1a5773bbc9c878366f5a20ffcae94083722782
将下列注册码复制到记事本中，另存为rarreg.key（或rarreg.reg ）文件，然后将rarreg.key（或rarreg.reg ）文件复制到WinRAR 安装目录（默认安装目录是C:\Program Files\WinRAR）即可

mxf350300

大蜘蛛也没检测到

allinwonderi

MISS. to lab

BING126

McAfee  miss