来一个

icka

Antivirus	Version	Update	Result
AhnLab-V3	2007.4.26.0	04.26.2007 [td]no virus found
AntiVir	7.4.0.15	04.26.2007	HEUR/Malware
Authentium	4.93.8	04.26.2007 [td]no virus found
Avast	4.7.981.0	04.26.2007 [td]no virus found
AVG	7.5.0.464	04.25.2007 [td]no virus found
BitDefender	7.2	04.26.2007 [td]no virus found
CAT-QuickHeal	9.00	04.25.2007 [td]no virus found
ClamAV	devel-20070416	04.26.2007 [td]no virus found
DrWeb	4.33	04.26.2007	DLOADER.Trojan
eSafe	7.0.15.0	04.25.2007 [td]no virus found
eTrust-Vet	30.7.3597	04.26.2007 [td]no virus found
Ewido	4.0	04.26.2007 [td]no virus found
FileAdvisor	1	04.26.2007 [td]no virus found
Fortinet	2.85.0.0	04.26.2007	suspicious
F-Prot	4.3.2.48	04.25.2007 [td]no virus found
F-Secure	6.70.13030.0	04.26.2007 [td]no virus found
Ikarus	T3.1.1.5	04.26.2007 [td]no virus found
Kaspersky	4.0.2.24	04.26.2007	Trojan-Downloader.Win32.Agent.bnt
McAfee	5017	04.25.2007 [td]no virus found
Microsoft	1.2405	04.26.2007 [td]no virus found
NOD32v2	2220	04.26.2007	probably unknown NewHeur_PE virus
Norman	5.80.02	04.26.2007 [td]no virus found
Panda	9.0.0.4	04.26.2007	Suspicious file
Prevx1	V2	04.26.2007 [td]no virus found
Sophos	4.16.0	04.23.2007	Mal/Behav-010
Sunbelt	2.2.907.0	04.19.2007 [td]no virus found
Symantec	10	04.26.2007 [td]no virus found
TheHacker	6.1.6.095	04.15.2007 [td]no virus found
VBA32	3.11.4	04.26.2007 [td]no virus found
VirusBuster	4.3.7:9	04.26.2007 [td]no virus found
Webwasher-Gateway	6.0.1	04.26.2007	Heuristic.Malware

卡巴也是晚上9点以后的更新才认了貌似.
是个下载型+感染的貌似,文件增加15K

新建文件夹 那个压缩包里是2个文件,一个是正常的,一个是被感染的.
哪个杀毒软件能修复感染的话说下哈

[ 本帖最后由 icka 于 2007-4-26 22:50 编辑 ]

The EQs

未知病毒也要上报。。。。。

icka

xpn282

2007-04-26 22:50:14 创建文件
操作:允许
进程路径:D:\Sandboxie\Sandbox\DefaultBox\user\current\Local Settings\Temp\Rar$EX00.750\AcroRd32.exe
文件路径:C\WINDOWS\debug.txt

2007-04-26 22:50:14 创建文件
操作:允许
进程路径:D:\Sandboxie\Sandbox\DefaultBox\user\current\Local Settings\Temp\Rar$EX00.750\AcroRd32.exe
文件路径:C\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSVEXT.EXE

2007-04-26 22:50:14 修改文件
操作:允许
进程路径:D:\Sandboxie\Sandbox\DefaultBox\user\current\Local Settings\Temp\Rar$EX00.750\AcroRd32.exe
文件路径:C\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSVEXT.EXE

2007-04-26 22:50:14 创建文件
操作:允许
进程路径:D:\Sandboxie\Sandbox\DefaultBox\drive\C\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSVEXT.EXE
文件路径:C\WINDOWS\svchost.exe

wangjay1980

衍生也杀拉

dikex

使用箫心的henryxu编写的 慧眼（ver1.3） 可以修复，没有箫心号的下载地址见附件
http://bbs.52happy.net/read.php?tid=265948

查完后将“杀毒选项”中的“查毒模式”去掉即可

原文的一部分

    经常看到有人说中了某某利害的病毒，即使重装系统也无济于事，可执行文件图标异常，无奈之下只能删除所有可执行文件，甚至全盘重新分区，格式化，遭受重大损失。
    难道就没有方法判断这些文件型病毒吗？它们寄生在其它软件内难道可以隐形？实际上病毒并没有那么高明，它们的寄生方式多数都很简单，对于研究过病毒的人可能手工修复并不困难。不过如果您的硬盘中有2000个可执行文件，要手工把所有文件中的病毒都找出来然后清除恐怕再利害的人也要累倒了。用杀毒软件？杀毒软件不能发现新病毒是常事，发现以后不予修复而直接删除也是家常便饭。
    针对这个问题，我编制了“慧眼”软件，它通过分析可执行文件的结构来判断是否有病毒感染的嫌疑，然后可以强行将可疑结构清除，由于病毒特征为通用特征，所以病毒变形不会影响本软件的查杀，因此不需要更新病毒库，但是不能保证清除后的文件与染毒前文件完全相同，一般情况下文件都可以正常运行，带自校验的文件不能运行。本软件对目前流行的多数文件捆绑型病毒（如威金，熊猫等）有特效。

一、软件名称：慧眼
二、适用操作系统：Win2000/Winxp/Win2003
三、软件性质：共享软件

四、使用说明
1. 请在杀毒前关闭所有其它杀毒软件。
2. 先设置扫描目标，然后扫描，默认为扫描所有可用介质。
3. 默认扫描文件类型为可执行文件。
4. 默认为备份染毒文件，建议不要更改，防止出现误杀、杀坏文件造成损失！
5. 默认备份路径为C:\virbackup、D:\virbackup...各分区目录，保留源文件目录信息。
6. 默认不修复注册表，此功能为辅助功能，请根据病毒库说明使用。
7. 请您在杀毒以后逐一测试文件是否正常，如有异常，请保管好备份的染毒文件。
8. 杀毒日志文件在C:\vscan.log，您可以随时查看杀毒历史。
9. 默认为查毒模式，这样不会操作发现的可疑病毒，第一次扫描必须选择此模式。
10.您可以选择“结束非系统进程”，这样查毒之前会结束所有非系统进程，此功能可以结束多数病毒进程，推荐选择。此选项默认关闭。
11.选择安静模式可以避免任何错误提示造成程序停止。此选项默认打开。
12.“辅助工具”－“清理非系统进程”同第10条，只是单独运行。
13.“清理开机启动项”会关闭所有开机启动项，WindowsXP输入法除外，此功能可以清理多数木马启动项，但也可能关闭部分有用的启动项。
14.“恢复开机启动项”会恢复所有开机启动项，只有您确定所有病毒已经清除之后才可开启，不推荐使用。
15.“修复注册表”会根据病毒库提供的修复内容修复注册表，请根据病毒库说明使用。

五、查杀病毒的一般步骤：
1.当您无法确定内存是否有毒时，请运行“辅助工具”－“清理非系统进程”
2.当您无法确定启动项是否有毒时，请运行“辅助工具”－“清理开机启动项”
3.选择扫描目标及文件类型。
4.扫描并查看结果，判断病毒性质（前置或后置）。
5.在“杀毒选项”中解除查毒模式，选择病毒性质(前置或后置)，此选项不推荐用“自动”。
6.再次查毒，即可清除所有可疑病毒。

六、注意事项
1.请仔细阅读“使用说明”和“查杀步骤”，不正确的使用本软件可能给您造成更大损失。
2.关于病毒性质的判断：
2.1 本软件报告的可疑病毒不一定都是病毒，有些是正常软件，需要您加以判断。
2.2 凡是出现“前置?”或“后置?”说明本软件也无法确定，此项目只能参考，不能作为判断依据。
2.3 当出现不同文件报告结果不同时，以多数为准，当不同大小的文件报告结果不同时，以大文件为准，因为一种病毒的感染方式只能为二者之一，除非您中了多种病毒，这样的情况就不好处理了，保险的办法就是全部删除。
2.4 选择病毒类型一定要认真，如果选反了，你猜猜会怎么样？
3.本软件只能查杀染毒文件，对病毒本体不能查杀，不能代替杀毒软件，要想真正干净的清除病毒，请使用杀毒软件、专杀工具或重装系统。
4.本软件虽然有一定清理内存病毒能力，但不能保证内存干净，只有格式化系统盘，重装系统才能保证，因此重装系统后立即使用可以更安全的清除病毒。
5.本软件属于特别软件，有一定的风险，您如果自愿使用，本人对您因使用该软件造成的任何后果不负责任！

[ 本帖最后由 dikex 于 2007-4-26 23:59 编辑 ]

jlennon

捆绑式的

鼻耳盖子

另外一个程序提取了特征了

qqq000@qq.com

原帖由 icka 于 2007-4-26 09:41 发表
AntivirusVersionUpdateResultAhnLab-V32007.4.26.004.26.2007 no virus foundAntiVir7.4.0.1504.26.2007HEUR/MalwareAuthentium4.93.804.26.2007 no virus foundAvast4.7.981.004.26.2007 no virus foundAVG7. ...

已修复,看这个贴,

凝逸反毒-[凝逸.分析感染PE引擎]-示范1
http://bbs.kafan.cn/viewthread.php?tid=78460&extra=page%3D2




没有原来的没感染的exe
icka 你看下
AcroRd31修复后的[1].exe
AcroRd31修复后的[2].exe

那个正常