Dr.web发现超级兔子有蠕虫

xxl

平时，我用微点主动防御软件1.2.10569.0060+Dr.web4.33.44做实时监控。
昨天，罕见的Dr.web监测居然报毒了：
C:\Program Files\Super Rabbit\MagicSet\SRRest.exe - infected with modification of BackDoor.Generic.1549
这个是超级兔子魔法设置，居然中了蠕虫，我将信将疑，又进行了C盘扫描，连报三个：
C:\Program Files\Super Rabbit\MagicSet\ds.exe - infected with modification of BackDoor.Generic.1549
两个还原文件 - infected with modification of BackDoor.Generic.1549
我还是相信了Dr.web,卸掉了超级兔子,即便是误报，也没事，以后再装回超级兔子也不迟。

反恶意插件、流氓程序的总的有个把关的吧，根据调查认为360安全卫士不错，就安装了。
随后补了四个系统漏洞。
今日Dr.web监测：
C:\Program Files\360safe\AntiAdwa.dll - probably infected with BINARYRES
我选择Ignor我认为是误报。



---------------------------------------------------------------------

各位高手：
非常感谢您留心我这份系统诊断报告，小菜鸟十万火急等待您的帮助！
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2007-03-16  13:22:19
诊断平台: Microsoft Windows XP  Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:255MB - 当前可用内存:90MB
100 - 未知 - Process: MPSVC.EXE [] -
100 - 未知 - Process: MPSVC2.EXE [] -
100 - 未知 - Process: MPSVC1.EXE [] -
100 - 未知 - Process: MPMon.exe [] -
100 - 未知 - Process: Monitor.exe [AutoDetector] - C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
100 - 未知 - Process: spidernt.exe [SpIDer Guard Service] - C:\PROGRA~1\DrWeb\SpiderNT.exe
100 - 未知 - Process: spiderui.exe [SpIDer Guard UI Agent] - C:\PROGRA~1\DrWeb\spiderui.exe
100 - 未知 - Process: spiderml.exe [SpIDer Mail ? for Windows Workstation] - C:\Program Files\DrWeb\spiderml.exe
100 - 未知 - Process: DrWebScd.exe [Dr.Web Scheduler for Windows] - C:\Program Files\DrWeb\DRWEBSCD.EXE
O2 - 未知 - BHO: (浏览器辅助对象(BHO)) - [无效的CLSID:{7E853D72-626A-48EC-A868-BA8D5E23E045}] - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
O4 - 未知 - HKLM\..\Run: [SpIDerNT] [SpIDer Guard UI Agent] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - 未知 - HKLM\..\Run: [SpIDerMail] [SpIDer Mail ? for Windows Workstation] "C:\Program Files\DrWeb\spiderml.exe"
O4 - 未知 - HKLM\..\Run: [DrWebScheduler] [Dr.Web Scheduler for Windows] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O8 - 未知 - Extra context menu item: Download all by NetXfer -
O8 - 未知 - Extra context menu item: 使用网络传送带下载 - C:\Program Files\Xi\NetXfer\NXAddLink.html
O8 - 未知 - Extra context menu item: 使用网络传送带下载全部链接 - C:\Program Files\Xi\NetXfer\NXAddList.html
O8 - 未知 - Extra context menu item: 添加到反 - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O10 - 未知 - Winsock LSP: [Dr.Web Winsock Provider Hook] [{7706E029-9A28-43A9-846D-1CE70CD3FEE5}]C:\WINDOWS\system32\DRWEBSP.DLL
O10 - 未知 - Winsock LSP: [Dr.Web Winsock Provider Hook] [{6E794481-9C07-4972-8FD3-A267C9D79982}]C:\WINDOWS\system32\DRWEBSP.DLL
O10 - 未知 - Winsock LSP: [Dr.Web Winsock Provider Hook] [{B039694D-0E77-4EBC-9327-B237A57BDC31}]C:\WINDOWS\system32\DRWEBSP.DLL
O10 - 未知 - Winsock LSP: [Dr.Web Winsock Provider Hook] [{BE9E92F6-C8EB-403C-9BC7-E8BCA2123482}]C:\WINDOWS\system32\DRWEBSP.DLL
O16 - 未知 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - 未知 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 未知 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - 未知 - Service: MPSVCService [微点主动防御软件] - C:\Program Files\Micropoint\MPSVC.exe - (running)
O23 - 未知 - Service: spidernt [SpIDer Guard On-Access Anti-Virus Monitor] - C:\PROGRA~1\DrWeb\SpiderNT.exe - (running)
O23 - 未知 - Service: usnjsvc [Messenger 上安装的启用共享情况的服务] - "C:\Program Files\MSN Messenger\usnsvc.exe" - (not running)
=======================================
100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统，用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell，包括开始菜单、任务栏，桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序，用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: avp.exe [卡巴斯基杀毒软件相关程序。] -
100 - 安全 - Process: SOUNDMAN.EXE [一个软声卡控制台软件。] - C:\WINDOWS\SOUNDMAN.EXE
100 - 安全 - Process: avp.exe [卡巴斯基杀毒软件相关程序。] -
100 - 安全 - Process: issch.exe [installshield software 公司出品的相关软件更新程序。] - C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: msnmsgr.exe [msn messenger是一款即时通讯客户端软件。] - C:\Program Files\MSN Messenger\MsnMsgr.Exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: wuauclt.exe [windows操作系统后台程序，用于系统升级。] - C:\WINDOWS\system32\wuauclt.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360Safe.exe
100 - 安全 - Process: IEXPLORE.EXE [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\iexplore.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
O3 - 安全 - Toolbar: (Windows Live Toolbar) - [MSN工具栏相关程序。] - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - 安全 - Toolbar: (NetXfer) - [网络传送带相关插件。] - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll
O4 - 安全 - HKLM\..\Run: [IMJPMIG8.1] [微软Microsoft输入法编辑器程序。] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 安全 - HKLM\..\Run: [PHIME2002ASync] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 安全 - HKLM\..\Run: [PHIME2002A] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 安全 - HKLM\..\Run: [MSPY2002] [是微软Microsoft翻译工具的一部分。] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 安全 - HKLM\..\Run: [SoundMan] [Realtek声卡相关程序。] SOUNDMAN.EXE
O4 - 安全 - HKLM\..\Run: [AVP] [卡巴斯基杀毒软件相关程序。] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - 安全 - HKLM\..\Run: [Ulead AutoDetector v2] [一款网页制作工具。] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - 安全 - HKLM\..\Run: [ISUSPM Startup] [installshield安装包服务计划任务升级程序。] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - 安全 - HKLM\..\Run: [ISUSScheduler] [installshield 公司出品的相关软件。] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O4 - 安全 - HKCU\..\Run: [MsnMsgr] [微软msn即时通讯工具] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - 安全 - Extra button: 卡巴斯基Web反病毒保护插件(HKLM) - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - 安全 - Extra button: Windows Messenger(HKLM) - C:\Program Files\Messenger\msmsgs.exe
O16 - 安全 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (Windows升级工具V5) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165823764471
O16 - 安全 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Flash播放器) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - 安全 - Service: Adobe LM Service [adobe公司相关产品的许可服务程序。] - "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" - (not running)
O23 - 安全 - Service: AVP [卡巴斯基杀毒软件相关程序。] - "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r - (running)
=======================================
O40 - winlogon.exe - Micropoint Corporation - C:\Program Files\Micropoint\mp110031.dll - mp110031 - f27537f86744a8651b66fb3718f7a0db
O40 - winlogon.exe - Kaspersky Lab - C:\WINDOWS\system32\klogon.dll - Logon Visualizer - 3f97f0f4a9a6d21a1a496c1d8fe84e4e
O40 - services.exe - Micropoint Corporation - C:\Program Files\Micropoint\mp110031.dll - mp110031 - f27537f86744a8651b66fb3718f7a0db
O40 - lsass.exe - Micropoint Corporation - C:\Program Files\Micropoint\mp110031.dll - mp110031 - f27537f86744a8651b66fb3718f7a0db
O40 - lsass.exe - Doctor Web, Ltd. - C:\WINDOWS\system32\DRWEBSP.DLL - Dr.Web Winsock Provider Hook - 19ebd44da67428904e1ef36ec6909bcd
O40 - svchost.exe - Micropoint Corporation - C:\Program Files\Micropoint\mp110031.dll - mp110031 - f27537f86744a8651b66fb3718f7a0db
O40 - svchost.exe - Micropoint Corporation - C:\Program Files\Micropoint\mp110031.dll - mp110031 - f27537f86744a8651b66fb3718f7a0db
O40 - svchost.exe - Doctor Web, Ltd. - C:\WINDOWS\system32\DRWEBSP.DLL - Dr.Web Winsock Provider Hook - 19ebd44da67428904e1ef36ec6909bcd
O40 - svchost.exe - Micropoint Corporation - C:\Program Files\Micropoint\mp110031.dll - mp110031 - f27537f86744a8651b66fb3718f7a0db
O40 - svchost.exe - Doctor Web, Ltd. - C:\WINDOWS\system32\DRWEBSP.DLL - Dr.Web Winsock Provider Hook - 19ebd44da67428904e1ef36ec6909bcd
O40 - svchost.exe - Micropoint Corporation - C:\Program Files\Micropoint\mp110031.dll - mp110031 - f27537f86744a8651b66fb3718f7a0db
O40 - svchost.exe - Doctor Web, Ltd. - C:\WINDOWS\system32\DRWEBSP.DLL - Dr.Web Winsock Provider Hook - 19ebd44da67428904e1ef36ec6909bcd
O40 - svchost.exe - Micropoint Corporation - C:\Program Files\Micropoint\mp110031.dll - mp110031 - f27537f86744a8651b66fb3718f7a0db
O40 - svchost.exe - Doctor Web, Ltd. - C:\WINDOWS\system32\DRWEBSP.DLL - Dr.Web Winsock Provider Hook - 19ebd44da67428904e1ef36ec6909bcd
O40 - Explorer.EXE - Micropoint Corporation - C:\Program Files\Micropoint\mp110031.dll - mp110031 - f27537f86744a8651b66fb3718f7a0db
O40 - Explorer.EXE - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\prremote.dll - PR_REMOTE - d2986e603a65be9ccc0608f7934c1000
O40 - Explorer.EXE - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\prloader.dll - Prague Loader - 940f024b00f5c329fdf004a621ec12a9
=======================================
O41 - drwebnet - SpIDer Guard for Windows NT - C:\WINDOWS\system32\drivers\drwebnet.sys - (running) - SpIDer Guard for Windows NT - Doctor Web, Ltd. - 4205d3045c2af096ab9b0586062e9e25
O41 - kfrdmhlh - sys 应用程序 - C:\WINDOWS\system32\drivers\kfrdmhlh.sys - (running) - sys 应用程序 - 北京三七二一科技有限公司 - c096dc989756c7d6a57f3fdc9bc3b9cf
O41 - kl1 - Kaspersky Unified Driver - C:\WINDOWS\system32\drivers\kl1.sys - (running) - Kaspersky Unified Driver - Kaspersky Lab - bc02a8e0dd5dc266e5cc3636dd454403
O41 - klif - spuper-ptor - C:\WINDOWS\system32\drivers\klif.sys - (running) - spuper-ptor - Kaspersky Lab - f0653e5e164123cad51edda22418c2a3
O41 - mp110001 - mp110001 - C:\WINDOWS\system32\drivers\mp110001.sys - (running) - mp110001 - MicroPoint Corporation - a9b4ea4aaeb3b1f691e80ad00ee9a822
O41 - mp110002 - mp110002 - C:\WINDOWS\system32\drivers\mp110002.sys - (running) - mp110002 - Micropoint Corporation - 63e7a0a6a77cf0989f83146149b82e10
O41 - mp110003 - mp110003 - C:\WINDOWS\system32\drivers\mp110003.sys - (running) - mp110003 - Micropoint Corporation - 3482344121cfbf4d51f1374e49ceabbc
O41 - mp110004 - mp110004 - C:\WINDOWS\system32\drivers\mp110004.sys - (running) - mp110004 - Micropoint Corporation - 0b551a1305cd996688f602449966d274
O41 - mp110005 - mp110005 - C:\WINDOWS\system32\drivers\mp110005.sys - (running) - mp110005 - Micropoint Corporation - 6a6fc19a3acdab2047ae22af8677c02d
O41 - mp110006 - mp110006 - C:\WINDOWS\system32\drivers\mp110006.sys - (running) - mp110006 - Micropoint Corporation - c033628fe05fc5f732b064cd2287ff8f
O41 - mp110007 - mp110007 - C:\WINDOWS\system32\drivers\mp110007.sys - (running) - mp110007 - Micropoint Corporation - cab209adcd81fdbbc2ac5c687a8be44a
O41 - mp110008 - mp110008 - C:\WINDOWS\system32\drivers\mp110008.sys - (running) - mp110008 - Micropoint Corporation - 48b71550ed8d04d3867f558aba87c418
O41 - mp110009 - mp110009 - C:\WINDOWS\system32\drivers\mp110009.sys - (running) - mp110009 - Micropoint Corporation - 3f806e3cc3bcf3bb316df666fe6f3e40
O41 - mp110010 - mp110010 - C:\WINDOWS\system32\drivers\mp110010.sys - (running) -  - Micropoint Corporation - ceaff6b1a3a2dfc37114aceb47b3cf8c
O41 - mp110011 - mp110011 - C:\WINDOWS\system32\drivers\mp110011.sys - (running) - mp110011 - Micropoint Corporation - 04b8857f5eb9d5001d93f139b7969770
O41 - mp110013 - mp110013 - C:\WINDOWS\system32\drivers\mp110013.sys - (running) - mp110013 - Micropoint Corporation - e962a1b17d78b363b1db53a34ed8c707
O41 - mp110012 - mp110012 - C:\WINDOWS\system32\drivers\mp110012.sys - (not running) - mp110012 - Micropoint Corporation - df305e7ba402d3752c99ed9dad5ae8ab
=======================================
360Safe.exe=3.2.0.1002
AntiAdwa.dll=3.2.0.1001
AntiEng.dll=3.0.2.2000
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
safelive.exe=1.0.0.2007
live.dll=1.0.0.1011
=======================================
操作历史报告：
----------查杀恶意软件历史----------
2007-03-16 03:44
查杀恶意软件 - 雅虎助手&上网助手 - 危险 -

=======================================
360安全卫士，彻底查杀各种流氓软件,全面保护系统安全,并赠送正版卡巴斯基V6.0
最新免费下载：http://www.360safe.com




--------------------------------------------------------------
vc名称: BackDoor.Generic 点击1140次
中文名称:  
别名:  
类别: 蠕虫
升级时间: 2005-7-13
传播方法: 感染文件
受影响操作系统: Windows
预测状态: 危险程度:7散播程度:4传播速度:5
vc建议对策: 用Virus Chaser进行内存扫描之后，按“开始扫描”进行全面检查。 Windwos 2000的用户要设置好系统用户的密码， 密码不能过于简单。
其它对策:  
病毒特征: 试图连接特定IRC服务器，可以远程控制系统而且对特定 host 进行Dos攻击。
病毒活动: <安装/特征>
ㅇ BackDoor.Generic.405 运行以后，在系统文件夹里以msapp.exe 的名称拷贝自己。
ㅇ 为了在系统启动时运行自身，在注册表里添加以下注册表值。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run=>WinApp32="msapp.exe"
ㅇ 在 SYSTEM.INI 的 [Boot] 项目里添加 msapp.exe。
ㅇ  连接特定 IRC 服务器，使远程用户同意执行以下行动。
- 检查 BackDoor  版本。
- 删除文件。- 卸载其它 BackDoor。
- 泄漏计算机名，CPU 等信息。
- 扫描特定范围的 IP 域并找出打开的端口。
- 重新启动计算机。
- 升级 BackDoor。
- 对特定 Host 进行 DDos(Distributed Denial of Service) 攻击。

[ 本帖最后由 xxl 于 2007-3-16 13:36 编辑 ]

lood

以前我有个版本的兔子红伞也报，LZ重新下个兔子把

凌远

以前我有个优化大师也被杀软报，后来改用兔子，兔子用到现在还好啊，可能是这些系统清理软件有某些特性被杀软误报吧

owenowen1214

我的DR.WEB也报在超级兔子里有modification.backdoor.generic.1549毒了,请教各位高手,到底杀不杀好啊?

owenowen1214

还有就是安全360的情况跟楼主查出一样的毒,我该怎么办呢?

The EQs

误报。。。。。

owenowen1214

真的吗?可是我试过删除了792和793里面它说有毒的程序SRRest.exe 和ds.exe ,却又不影响兔子正常工作,这是怎么回事啊

owenowen1214

没有人知道是怎么回事吗？

tracydk

DR.WEB误报太多了

ballakay

超级兔子用了大量的HOOK函数,AVAST也会误报!这说明他们的病毒库定义有问题!用HOOK函数的不一定就是病毒!!!误报,不用担心!