怀疑是红伞误报的样本，麻烦确认

SONGLEI

原帖由 linjw 于 2009-7-14 13:15 发表
我的是SP3的

文件版本号不一样。我现在想知道正版系统文件红伞报不报？
正版不报的话，就不能叫误杀系统文件了。

[ 本帖最后由 SONGLEI 于 2009-7-14 13:53 编辑 ]

SONGLEI

原帖由 悠柚 于 2009-7-14 13:16 发表
手头有一张联想的oem正版xp sp2盘，
md5:7BD70EC53CB7398246C84D25BFF33AA8

能否将文件传上来，看红伞报不报？我特想知道正版的报不报？

失落的手链

瑞星2010
Backdoor.Ra-Based.bl

天使的愤怒

结果报给江民的时候忘给压缩包加virus这个密码了。汗

SONGLEI

我从联想附带的恢复光盘中提取了这个文件，不报毒，版本号同样是2180
原来是盗版盘改过了系统文件。那么算误报，但不算误报系统文件。
红伞依然维持高查杀率不误报系统文件的记录。


[ 本帖最后由 SONGLEI 于 2009-7-14 14:33 编辑 ]

SONGLEI

但不知将正版文件替换进盗版系统会有什么灾难性后果？

HC303

楼主的USERINIT.EXE和USERINIT-1.EXE
这两个文件的MD5是一样的都是fd5ccda253e5875c03e7ee2fc5e96022

我的正版XP SP3里的USERINIT.EXE的MD5是431fed77e71b1831cd485890159d467c

woai_jolin

误报

Hello,


userinit.exe,
userinit-1.exe

No malicious code were found in these files.

Sincerely yours,
Gashkin Alex,
Virus Analyst.

[ 本帖最后由 woai_jolin 于 2009-7-14 14:58 编辑 ]

SONGLEI

原帖由 HC303 于 2009-7-14 14:40 发表
楼主的USERINIT.EXE和USERINIT-1.EXE
这两个文件的MD5是一样的都是fd5ccda253e5875c03e7ee2fc5e96022

我的正版XP SP3里的USERINIT.EXE的MD5是431fed77e71b1831cd485890159d467c

我在1F提供的链接中做了说明：C:\WINDOWS\system32\userinit.exe
   C:\WINDOWS\system32\dllcache\userinit.exe
是这2个位置，文件应该是一样的，另一个被我改名是因为同文件名不好解压到一个文件夹下。
还有SP2和SP3下的这个文件版本号是不一样的，MD5自然也不一样。
我在LS提取的正版SP2光盘中的userinit.exe，红伞不报毒。

SONGLEI

原帖由 woai_jolin 于 2009-7-14 14:57 发表
误报

Hello,  userinit.exe,userinit-1.exe No malicious code were found in these files.

谢谢啊！辛苦了！
回复这么快！机器分析的？还是人工分析的？