这个是不是病毒，我非常郁闷。

liu5678

今天寝室的同学用了我的电脑，后来SYSTEM32文件夹下多了很多类似于4CEC8F的文件夹。
我知道肯定是中木马了。
但是我亲爱的NIS09啊。他还是默默无闻的在那里选择防火墙自动。
我郁闷！！
结果我看程序控制里面，果然有个4CEC8F.EXE的文件访问网络并且创建了防火墙规则，NIS居然判定为自动，用NIS扫描，完全就是没有风险。
后来我把这个文件程序传到在线扫描去，90%的杀软报告发现病毒。微软和MCAFEE都报了，我亲爱的NIS就是不报。
晕菜了我都要。
后来用360的云查杀，直接智能清除掉了。
但是又发现了这个文件夹，还是类似上面的那种编码和数字的文件夹。
里面有这个程序，扫描27%的杀软发现威胁
我都不知道该不该相信了。。以后我真的要把电脑保管好了。

以下是报告
——————————————————————————————————————————————————————————————————————
VirSCAN.org Scanned Report :
Scanned time   : 2009/03/03 14:48:57 (CST)
Scanner results: 27%的杀软(10/37)报告发现病毒
File Name      : cturnxp.zip
File Size      : 10876 byte
File Type      : Zip archive data, at least v2.0 to extract
MD5            : d7b70f593a392fae1ff6c4310dc4d97c
SHA1           : 80c1b619ea0281620199d0eeebad5058a6989771
Online report  : http://virscan.org/report/1e9dd75d6d5d30f82f8bec02e2f7547e.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.0.0.32        20090303043319    2009-03-03  2.38   Trojan.Dloader!IK
安博士V3       2009.03.03.01   2009.03.03        2009-03-03  1.12   -
AntiVir        7.9.0.98        7.1.2.104         2009-03-02  1.88   -
安天           2.0.18          20090302.2206924  2009-03-02  0.12   -
Authentium     5.1.1           200903022156      2009-03-02  1.08   W32/Agent.CM.gen!Eldorado (Possible)
AVAST!         3.0.1           090302-0          2009-03-02  0.00   -
AVG            7.5.52.442      270.11.6/1980     2009-03-02  1.94   -
BitDefender    7.81008.2702016 7.23943           2009-03-03  2.54   -
CA (VET)       9.0.0.143       31.6.6380         2009-03-02  5.46   -
ClamAV         0.94.2          9062              2009-03-03  0.01   -
Comodo         3.8             986               2009-03-02  0.67   -
CP Secure      1.1.0.715       2009.03.03        2009-03-03  7.18   -
Dr.Web         4.44.0.9170     2009.03.03        2009-03-03  4.09   Win32.HLLW.Autoruner.5073
F-Prot         4.4.4.56        20090302          2009-03-02  1.09   W32/Agent.CM.gen!Eldorado (generic, not disinfectable)
F-Secure       5.51.6100       2009.03.03.01     2009-03-03  0.06   -
飞塔           2.81-3.117      10.105            2009-03-02  0.14   PossibleThreat
GData          19.3593/19.243  20090303          2009-03-03  3.59   -
ViRobot        20090302        2009.03.02        2009-03-02  0.41   -
Ikarus         T3.1.01.45      2009.03.03.72374  2009-03-03  3.84   Trojan.Dloader
江民杀毒       11.0.706        2009.03.03        2009-03-03  3.21   -
卡巴斯基       5.5.10          2009.03.03        2009-03-03  0.04   -
金山毒霸       2009.2.5.15     2009.3.3.14       2009-03-03  0.69   -
迈克菲         5.3.00          5541              2009-03-02  2.95   -
Microsoft      1.4306          2009.03.03        2009-03-03  5.73   -
mks_vir        2.01            2009.03.03        2009-03-03  2.69   -
Norman         6.00.06         6.00.00           2009-03-02  8.01   W32/DLoader.LDBY
熊猫卫士       9.05.01         2009.03.02        2009-03-02  2.00   -
趋势科技       8.700-1004      5.878.01          2009-03-02  0.02   TROJ_DLOADER.PBD
Quick Heal     10.00           2009.03.03        2009-03-03  1.08   Suspicious - DNAScan
瑞星           20.0            21.19.10.00       2009-03-03  0.81   -
Sophos         2.84.1          4.39              2009-03-03  2.02   Mal/EncPk-GF
Sunbelt        5018            5018              2009-03-02  2.70   -
赛门铁克       1.3.0.24        20090302.002      2009-03-02  0.06   -
nProtect       20090303.01     3210060           2009-03-03  4.03   -
The Hacker     6.3.2.7         v00270            2009-03-02  0.54   -
VBA32          3.12.10.1       20090302.1609     2009-03-02  1.72   -
VirusBuster    4.5.11.10       10.101.31/963898  2009-03-02  1.21   -

Oday

我的Avira没有报，试一下。

Oday

解压缩后并没有发现您所说的System32下有类似于4CEC8F异常的文件夹，
重启以后也没有。(和之前一样共42个文件夹)。而进程里面也是没有4CEC8F.EXE

这两张图与解压之后的无明显变化。

ledled

VirusBuster found nothing

黑衣~魂

DR.WEB
cturnxp.exe - infected with Win32.HLLW.Autoruner.5073

liu5678

原帖由 Oday 于 2009-3-3 15:31 发表
解压缩后并没有发现您所说的System32下有类似于4CEC8F异常的文件夹，
重启以后也没有。(和之前一样共42个文件夹)。而进程里面也是没有4CEC8F.EXE

这两张图与解压之后的无明显变化。

那个4CEC8F和另外的几个程序被360云查杀直接清除掉了。
我上传的这个程序是4CEC8F的这个文件夹里面的程序。另外还有一个4CEC8F.EXE的程序，图标是WINRAR的模式。
在我的机器上我上传的这个程序的图标是MOTO software update的图标。但是这个MOTO的手机更新软件没有在SYSTEM32下生成任何文件。
在NIS下留下了一个程序访问互联网的记录。





NIS对这个程序的设置是：自动，我手动把它改成了阻止。
我现在不确定自己上传的这个文件是不是病毒，所以想让大家帮我测试一下。
其他的几个病毒，NIS全部扫描显示安全，但是已经确定是病毒。
我用START命令打开了同学的PSP 里面有FOUND.000 FOUND.001 FOUND.000.EXE
还有本来的MUSIC    ISO 几个文件夹都被隐藏了，变成了MUSIC.EXE等
还有AUTORUN.INF等文件，基本已经确定是他的PSP感染电脑。
我用的VISTA HOME BASIC系统

我最不能接受的就是NIS对此完全无视
哎
这么典型的U盘病毒都没办法发现。
现在我想看下我上传的程序到底有没有恶意行为，所以想请大家帮我看下。
如果有，基本就可以判定是木马衍生物，那么就有全盘感染的危险了。
我就基本确定要重装VISTA。
哎。。。

[ 本帖最后由 liu5678 于 2009-3-3 17:09 编辑 ]

Palkia

to rs

BING126

McAfee miss

尤金卡巴斯基

To KL

尤金卡巴斯基

Hello,


cturnxp.exe

No malicious code was found in this file.

Best regards, Sergey Prokudin
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.


10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com