插入到svchost.exe进程的msi.dll，4M多，会生成一at1.job文件，过小红伞

显示全部楼层 · 发表于 2010-1-12 12:35:24

我的机器xp sp3系统。近日，无意中用wsyscheck检查了一下进程的数字签名，发现有一msi.dll(有4M多)插入到了svchost.exe进程，该svchost进程会定时在c:\windows\tasks目录下生成at1.job文件，运行该at1.job文件后会生成eohpq.qmf病毒（nod32报win32/Conficker.x蠕虫）。
手动清除msi.dll时，发现winlogon.exe进程居然将c:\windows\system32\set14.tmp更名为新的msi.dll，后检查了winlogon.exe的数字签名和文件大小，发现没有问题。
感觉有点怪，现将msi.dll文件上传，望高手帮分析下。受限于文件大小限制，分为三个压缩包。

显示全部楼层 · 发表于 2010-1-12 12:42:46

乾淨的，沒問題
The file 'msi.dll' has been determined to be 'KNOWN CLEAN'. In particular this means that we could not find any malicious content. Please note that the file is part of 'Windows Installer (Windows XP 2003) 4.5'.

显示全部楼层 · 发表于 2010-1-12 12:58:37

那就怪了，我查看了我的风云防火墙文件监控日志，发现的。截图如下来：

显示全部楼层 · 发表于 2010-1-13 09:07:51

红伞报了，并杀掉了，楼主用的是什么版本的红伞啊？

显示全部楼层 · 发表于 2010-1-13 10:14:09

今天升级了一下小红伞，还是没有报警有病毒啊，怎么回事，我的版本信息：
Avira AntiVir premium
Product version 9.0.0.455 2009/12/2
Search engine 8.02.01.134 2010/1/7
Virus definition file 7.10.02.175 2010/1/12
Control Center 9.00.00.20 2009/12/9
Config Center 9.00.00.21 2009/2/20
Luke Filewalker 9.00.03.10 2009/12/9
AntiVir Guard 9.00.01.32 2009/7/21
Filter 9.00.03.17 2009/12/9
AntiVir MailGuard 9.00.01.09 2009/5/11
AntiVir WebGuard 9.00.05.00 2009/5/12
Scheduler 9.00.00.09 2009/5/13
Updater 9.00.00.52 2009/7/21

显示全部楼层 · 发表于 2010-1-13 10:30:03

此文件CLEAN
http://www.virscan.org/report/ca ... 03405bdc93bc5f.html

显示全部楼层 · 发表于 2010-1-13 10:44:01

唉，光用这些杀毒软件来扫描不怎么能叫人信服。

显示全部楼层 · 发表于 2010-1-13 19:20:15

360 miss

[病毒样本] 插入到svchost.exe进程的msi.dll，4M多，会生成一at1.job文件，过小红伞

本帖子中包含更多资源

本帖子中包含更多资源