请大家帮我分析一下这个样本

尤金卡巴斯基

2009/12/30 22:22:09        已删除        木马程序 Trojan.Win32.KillAV.beh        G:\Temp\Virus\virus.zip/virus/justkt.dll

staticfield

D:\Backup\我的文档\下载\病毒样本\virus.zip > ZIP > virus/justkt.dll - 错误 － 文件受密码保护

水晶

蠕虫。。病毒        2009-12-31  09:24:51        病毒在文件C:\Documents and Settings\Administrator\桌面\virus\justkt.dll中        Worm.NSDownloader.bk         处理成功（操作：删除）

will

为什么我的红伞不报呢？～
咚咚腔 发表于 2009-12-30 21:36

这个包有密码
解压出来再扫描

wsc47621

回報去~~~

ggsafe

回复 1# saskecn


    样本为一下载者（目前很流行的下载者，会替换系统一系列系统服务组件文件），
下载列表http://vvv.cccvvvbbb.cn/number/list.txt(目前已失效)，释放驱动隐藏进程。

至于楼主所描述的删除不干净，大家通常有一些误区，至少有两点以上可能
1.杀软考虑不周，删除操作被木马/病毒给拦截了
2.杀软是删除了，但是木马由于在内存中运行，发现该行为触发后会继续回写，
尤其是2，给绝大部分用户造成的假像就是删除不掉，其实是删除掉了。但是又回写了。

删除不掉有可能是由于替换了系统文件，而杀报由于未对该系统进行特殊处理（如修复等，因为不可以强行删除的，极有可能会导致系统崩溃乖），所以没敢报出来。
下次再遇到该类样本，建议楼主试下巨盾。

saskecn

谢谢  ggsafe

qq597803688

avast没报