收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 麻烦各位帮忙分析一下这个文件
12下一页
返回列表 发新帖
查看: 2776|回复: 11
收起左侧

麻烦各位帮忙分析一下这个文件

[复制链接]
彼岸あ天堂
发表于 2009-6-19 00:45:54 | 显示全部楼层 |阅读模式
52%的杀软报毒 不过个人感觉不是 希望哪位可以分析一下原因 及这个文件的作用 谢谢(附:扫描报告)
VirSCAN.org Scanned Report :
Scanned time   : 2009/06/19 00:35:48 (CST)
Scanner results: 53%的杀软(20/38)报告发现病毒
File Name      : !取消修正开始菜单错位.exe
File Size      : 89088 byte
File Type      : PE32 executable for MS Windows (console) Intel 80386 32-bit
MD5            : ceb1a19787bb587e40503db293f953d1
SHA1           : 7ff17f76e5d01b4124d12d2d30e064e0db06be9e
Online report  : http://virscan.org/report/060a9b082ed3c1269bae968423d0e93c.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.5.0.1         20090618030118    2009-06-18  2.69   Trojan.Generic!IK
安博士V3       2009.06.18.03   2009.06.18        2009-06-18  0.81   Dropper/Xema.67584.H
AntiVir        8.2.0.191       7.1.4.111         2009-06-18  0.10   -
安天           2.0.18          2.0.18.           0002-18-00  0.02   -
Arcavir        2009            200906181407      2009-06-18  0.07   -
Authentium     5.1.1           200906181100      2009-06-18  1.10   W32/Trojan2.BNPK (Exact)
AVAST!         4.7.4           090617-0          2009-06-17  0.01   Win32:Trojan-gen {Other}
AVG            8.5.286         270.12.78/2185    2009-06-18  3.54   -
BitDefender    7.81008.3349459 7.26046           2009-06-18  3.09   BehavesLike:Win32.Malware (suspected)
CA (VET)       9.0.0.143       31.6.6566         2009-06-18  7.38   Win32/VMalum.EHBL unknown type.
ClamAV         0.95.1          9481              2009-06-18  0.02   -
Comodo         3.9             1365              2009-06-18  0.77   TrojWare.Win32.TrojanDropper.Delf.~BABM
CP Secure      1.1.0.715       2009.06.18        2009-06-18  10.10  Troj.Dropper.W32.Delf.bda
Dr.Web         4.44.0.9170     2009.06.18        2009-06-18  4.72   -
F-Prot         4.4.4.56        20090617          2009-06-17  1.11   W32/Trojan2.BNPK (exact)
F-Secure       5.51.6100       2009.06.18.08     2009-06-18  5.93   -
飞塔           2.81-3.117      10.509            2009-06-18  0.17   PossibleThreat
GData          19.5899/19.367  20090618          2009-06-18  4.61   Win32:Trojan-gen {Other} [Engine:B]
ViRobot        20090618        2009.06.18        2009-06-18  0.42   -
Ikarus         T3.1.01.59      2009.06.18.72887  2009-06-18  3.25   Trojan.Generic
江民杀毒       11.0.706        2009.06.18        2009-06-18  2.56   -
卡巴斯基       5.5.10          2009.06.18        2009-06-18  0.06   -
金山毒霸       2009.2.5.15     2009.6.18.21      2009-06-18  0.55   -
迈克菲         5.3.00          5649              2009-06-17  3.11   Generic Dropper
Microsoft      1.4701          2009.06.18        2009-06-18  4.49   -
mks_vir        2.01            2009.06.17        2009-06-17  3.31   Worm.Buzzy.A
Norman         6.01.09         6.01.00           2009-06-18  4.12   -
熊猫卫士       9.05.01         2009.06.18        2009-06-18  2.51   -
趋势科技       8.700-1004      6.204.06          2009-06-18  0.11   -
Quick Heal     10.00           2009.06.18        2009-06-18  1.49   Trojan.Agent.atv
瑞星           20.0            21.34.34.00       2009-06-18  1.30   -
Sophos         2.87.1          4.42              2009-06-18  2.58   Mal/Generic-A
Sunbelt        5195            5195              2009-06-17  0.90   Trojan-Downloader.Generic
赛门铁克       1.3.0.24        20090617.003      2009-06-17  0.05   Trojan Horse
nProtect       20090618.01     4271671           2009-06-18  5.79   Trojan/W32.Agent.89088.BE
The Hacker     6.3.4.3         v00348            2009-06-17  0.71   -
VBA32          3.12.10.7       20090617.1435     2009-06-17  2.19   Trojan-Dropper.Win32.Delf.bvr
VirusBuster    4.5.11.10       10.107.17/1637804 2009-06-18  2.43   -

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

meishizhao
发表于 2009-6-19 00:50:49 | 显示全部楼层
我的正好错位了。下载看看
回复

举报

彼岸あ天堂
 楼主| 发表于 2009-6-19 00:52:02 | 显示全部楼层

回复 2楼 meishizhao 的帖子

回复

举报

meishizhao
发表于 2009-6-19 00:52:48 | 显示全部楼层
没修复啊
回复

举报

彼岸あ天堂
 楼主| 发表于 2009-6-19 00:56:30 | 显示全部楼层
这个不是程序 只是一个程序解压出来的一部分罢了... 我对不起你...
回复

举报

yhjtj
发表于 2009-6-19 08:37:14 | 显示全部楼层
替换explorer.exe应该是病毒吧
并且企图删除C:\WINDOWS\system32\dllcache下的explorer.exe
回复

举报

彼岸あ天堂
 楼主| 发表于 2009-6-19 10:24:53 | 显示全部楼层
尊敬的用户,您好!

      
!取消修正开始菜单错位.exe

以上文件中不包含恶意代码。



非常感谢您向我们提供可疑文件样本,有了您的支持我们将做得更好。
  

感谢您对卡巴斯基的信任与支持!
我们诚恳地希望您来电或来信寻求关于产品的技术支持服务,如果您有关于卡巴斯基公司的合理化建议也希望您与我们联系。
24小时技术支持热线400-611-6633
中文主页:http://www.kaspersky.com.cn/
技术支持邮箱:support@kaspersky.com.cn
病毒上报邮箱:viruslab@kaspersky.com.cn



应该如六楼说的 替换了explorer.exe导致的吧 这个本来就是一个主题软件的组件 替换也很正常吧 不过我就奇怪为什么那么多杀软报毒呢?
回复

举报

xyao
发表于 2009-6-19 13:38:31 | 显示全部楼层
原帖由 yhjtj 于 2009-6-19 08:37 发表
替换explorer.exe应该是病毒吧
并且企图删除C:\WINDOWS\system32\dllcache下的explorer.exe


替换的是正常的explorer.exe  误报
回复

举报

lorchid
发表于 2009-6-19 13:51:18 | 显示全部楼层
修改注册表值    阻止
进程: j:\download\!warning\!取消修正开始菜单错位.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData
值: C:\Documents and Settings\Lorchid\Local Settings\Application Data
规则: [注册表组]资源管理器相关 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

创建文件    允许
进程: j:\download\!warning\!取消修正开始菜单错位.exe
目标: C:\Documents and Settings\Lorchid\Local Settings\Temp\bt35258.cmd
规则: [文件组]FD测试组 -> [文件]*

设置文件隐藏属性    阻止
进程: j:\download\!warning\!取消修正开始菜单错位.exe
目标: C:\Documents and Settings\Lorchid\Local Settings\Temp\bt35258.cmd
规则: [文件组]FD测试组 -> [文件]*

创建新进程    阻止
进程: j:\download\!warning\!取消修正开始菜单错位.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c C:\DOCUME~1\Lorchid\LOCALS~1\Temp\bt35258.cmd "J:\Download\!Warning\!取消修正开始菜单错位.exe"
规则: [应用程序组]AF00_所有程序过滤 -> [子应用程序]AD_黑名单程序

删除文件    允许
进程: j:\download\!warning\!取消修正开始菜单错位.exe
目标: C:\Documents and Settings\Lorchid\Local Settings\Temp\bt35258.cmd
规则: [文件组]FD测试组 -> [文件]*



cmd里的内容:
@shift
@echo off
cls
title 取消修正开始菜单错位(一般主题使用)
color 2e
echo ============================
echo 正常美化EXPLORER,不修正错位
echo              by AGASAHIROSHI
echo ============================
echo.
echo 请关闭其它窗口
echo 还原时仅剩壁纸
echo 一会儿自动恢复
echo.
echo 如果确定要开始
pause
cls
echo 正在还原...
taskkill /f /im explorer.exe >nul
cd System
copy /y "%windir%\explorer.exe" explorer.exe >nul
if not exist "%windir%\explorer.backup" ren "%windir%\explorer.exe" explorer.backup >nul
copy /y "%windir%\explorer.backup" explorer.backup >nul
if exist "%windir%\system32\dllcache\explorer.exe" del /q "%windir%\system32\dllcache\explorer.exe" >nul
if exist "%windir%\ServicePackFiles\i386\explorer.exe" del /q "%windir%\ServicePackFiles\i386\explorer.exe" >nul
reshacker.exe -addoverwrite explorer.exe ,explorer.exe ,explorer.exe.res ,,,
copy /y explorer.exe "%windir%\" >nul
del /q reshacker.ini >nul
del /q reshacker.log >nul
start %windir%\explorer.exe
cls
echo 美化的EXPLORER还原完成!
echo.
echo 窗口在几秒钟内自动关闭。
ping 127.0.0.1 -n 5 >nul
回复

举报

zlb1111
发表于 2009-6-19 15:52:43 | 显示全部楼层
微点没反应
360安全卫士报:木马名称:Trojan/Win32.FZL.abh
路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX07.984\!取消修正开始菜单错位.exe
命令行:"C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX07.984\!取消修正开始菜单错位.exe"
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-18 04:20 , Processed in 0.133728 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表