帮忙看看这个是什么毒啊

显示全部楼层 · 发表于 2007-4-6 22:49:48

今天帮同学杀毒，结果红伞（c）卡巴（kis）全被杀了

他们的主程序全部被感染

卡巴报avp.exe需要在重启后删掉
红伞是只能在刚装的时候用
后来就连界面都打不开
提示我不记得了
我也没截图
更不敢自己试试

红伞说是 Worm/Delf.BG.3
那位高人分析下！

附上病毒的根目录下的setup.exe
密码是：000

[ 本帖最后由 fan4170 于 2007-4-6 23:05 编辑 ]

显示全部楼层 · 发表于 2007-4-6 23:05:55

Scan performed at: 2007-4-6 23:06:11
Scanning Log
NOD32 version 2171 (20070406) NT
Command line: C:\Documents and Settings\EQ2\桌面\setup
Operating memory - is OK

Date: 6.4.2007 Time: 23:06:15
Anti-Stealth technology is enabled.
Scanned disks, folders and files: C:\Documents and Settings\EQ2\桌面\setup\
C:\Documents and Settings\EQ2\桌面\setup\setup.exe - Win32/Drowor.A virus - quarantined - unable to clean - deleted
Number of scanned files: 1
Number of threats found: 1
Number of files cleaned: 1
Time of completion: 23:06:15 Total scanning time: 0 sec (00:00:00)

显示全部楼层 · 发表于 2007-4-6 23:14:50

@#￥%……&*
英文................
Win32/Drowor.A virus么
和红伞报的不一样？

显示全部楼层 · 发表于 2007-4-6 23:48:00

ArcaVir 1.0.4 Worm.Delf.Bg 2.55154 secs
AVG Anti Virus 7.5.45 Worm/Delf.ASV 2.3627 secs
BitDefender 7.1 Win32.Worm.Delf.AU 3.66327 secs
CAT QuickHeal 9.00 Worm.Delf.bg 4.17925 secs
ClamAV 0.90/3028 Worm.Delf-29 0.017735 secs
Dr. Web 4.33.0 Win32.HLLW.Dao 7.69837 secs
F-Secure 1.02 Virus.Win32.Drowor.a [AVP] 0.383096 secs
McAfee Virusscan 5.10.0 W32/QQPass.worm 1.67257 secs
NOD32 2.51.1 Win32/Drowor.A virus 2.40987 secs
Norman Virus Control 5.70.01 W32/NetworkWorm.NJ 6.36081 secs
Panda 9.00.00 Trj/QQpass.PL 1.18623 secs
Sophos Sweep 4.16.0 W32/Cekar-A 3.68603 secs
Trend Micro 8.310-1002 WORM_DELF.EMJ 0.0167222 secs
VirusBuster 1.3.3 Worm.Delf.VZS 2.41076 secs

显示全部楼层 · 发表于 2007-4-6 23:51:26

[ DetectionInfo ]
* Sandbox name: W32/NetworkWorm
* Signature name: W32/NetworkWorm.NJ

[ General information ]
* Decompressing UPX.
* Creating several executable files on hard-drive.
* File length: 30001 bytes.
* MD5 hash: f154718108f8b4582625999f675ee6ec.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\system\internat.exe.
* Deletes file C:\WINDOWS\system\internat.exe.tmp.
* Creates file C:\WINDOWS\system\internat.exe.
* Creates file C:\sample.exe.bat.
* Creates file C:\autorun.inf.
* Creates file C:\setup.exe.
* Creates file N:\autorun.inf.
* Creates file N:\setup.exe.
* Deletes file C:\WINDOWS\win.log.

[ Spreading through LAN/WAN ]
* Worm spreading over a network connection.

[ Process/window information ]
* Enumerates running processes.
加UPX壳，看来有几家误报了

[ 本帖最后由 buycard 于 2007-4-7 01:39 编辑 ]

显示全部楼层 · 发表于 2007-4-7 00:01:35

好象是威金（变种?）:
会感染windows可执行文件，被感染的文件可能会因为被破坏(感染)而导致无法使用
查找局域网中的所有共享计算机，尝试猜解它们的密码，试图感染这些计算机。
自动在后台下载并运行“QQ通行证”等其它病毒
窃取用户的QQ及网络游戏的账号和密码并发送出去
即使杀软能够发现也未必就能够阻止它的破坏

级别：比较恶性

考虑一下重装，并且暂时不要再打开任何可执行文件

显示全部楼层 · 发表于 2007-4-7 00:33:58

金山可杀

显示全部楼层 · 发表于 2007-4-7 00:37:24

avast!杀

显示全部楼层 · 发表于 2007-4-7 00:43:01

Starting the file scan:

Begin scan in 'C:\Documents and Settings\morgan\My Documents\setup'
C:\Documents and Settings\morgan\My Documents\setup\
  setup.exe
   [DETECTION] Contains signature of the worm WORM/Delf.BG.3
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2007-4-7 00:48:53

在系统根目录生成并运行_.de，生成_.de.bat，自杀

生成x:\windows\system\internat.exe(若先前有同名目录，则把那个文件夹改名为internat.exe.tmp)

各盘下生成autorun.inf和setup.exe

运行命令cmd.exe /c dir 系统盘以外的盘:\*.exe /s /b >>C:\WINDOWS\win.log

根据win.log里的文件来感染EXE

文件感染后增大26890字节

查杀方法：
1、用命令管理器结束internat.exe这个进程；

2、删除X:\windows\system\internat.exe；

3、用右键进入各盘，删除下面的autorun.inf和setup.exe；

4、在系统盘根目录创建一个名为_.de的文件夹；

5、用杀毒软件彻底扫描全部硬盘，被感染不能修复的删不删除都可。

这样，被感染的EXE虽然还没修复，但毒是不会复发了的。你可以运行它，慢慢等到杀软可以杀它的时候吧。

第二方法：
或把以下内容保存为jy.reg，再双击导入
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\internat.exe]
"Debugger"="internat.exe"
这样，internat.exe就不会运行了

帮忙看看这个是什么毒啊

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源