今天用安全卫士7.6beta扫描 发现一个系统文件为木马 感觉是误报

henghengxj

用百锐1.6也没查到
在论坛搜索了下 没有msddsf.dll的相关内容 所以发一下 大家看看 有没有同样遇到的



VirSCAN.org Scanned Report :
Scanned time   : 2010/12/07 14:22:04 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : MSDDSF.DLL
File Size      : 487424 byte
File Type      : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5            : bc8a5d4b8412b8522d47f45a838824ce
SHA1           : e435f1497babbc6f4c887b827ef4dcfdc407c7ed
Online report  : http://virscan.org/report/4ed262631d24d08114bf8d90edd75e1e.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.0.0.20        20101207110843    2010-12-07  20.51  -
安博士V3       2010.11.23.01   2010.11.23        2010-11-23  1.90   -
AntiVir        8.2.4.120       7.10.14.201       2010-12-06  0.28   -
安天           2.0.18          20101207.6186214  2010-12-07  0.02   -
Arcavir        2010            201012071417      2010-12-07  0.08   -
Authentium     5.1.1           201012062242      2010-12-06  2.52   -
AVAST!         4.7.4           101206-1          2010-12-06  0.04   -
AVG            8.5.850         271.1.1/3299      2010-12-06  0.27   -
BitDefender    7.90123.6373770 7.34944           2010-12-07  5.95   -
ClamAV         0.96.3          12364             2010-12-07  0.12   -
Comodo         4.0             6973              2010-12-07  0.95   -
CP Secure      1.3.0.5         2010.12.06        2010-12-06  0.10   -
Dr.Web         5.0.2.3300      2010.12.07        2010-12-07  10.28  -
F-Prot         4.4.4.56        20101206          2010-12-06  2.43   -
F-Secure       7.02.73807      2010.12.07.03     2010-12-07  0.15   -
飞塔           4.2.254         12.640            2010-12-06  0.38   -
GData          21.1236/21.524  20101206          2010-12-06  6.12   -
ViRobot        20101206        2010.12.06        2010-12-06  0.37   -
Ikarus         T3.1.32.15.0    2010.12.07.77303  2010-12-07  5.60   -
江民杀毒       13.0.900        2010.11.30        2010-11-30  1.40   -
卡巴斯基       5.5.10          2010.12.06        2010-12-06  0.09   -
金山毒霸       2009.2.5.15     2010.12.7.7       2010-12-07  0.75   -
迈克菲         5400.1158       6189              2010-12-06  18.67  -
Microsoft      1.6402          2010.12.06        2010-12-06  3.81   -
Norman         6.06.11         6.06.00           2010-12-05  10.01  -
熊猫卫士       9.05.01         2010.12.06        2010-12-06  3.67   -
趋势科技       9.120-1004      7.686.01          2010-12-06  0.03   -
Quick Heal     11.00           2010.12.07        2010-12-07  1.85   -
瑞星           20.0            22.76.06.04       2010-12-05  2.18   -
Sophos         3.14.1          4.60              2010-12-07  2.99   -
Sunbelt        3.9.2459.2      7542              2010-12-06  0.64   -
赛门铁克       1.3.0.24        20101206.002      2010-12-06  0.06   -
nProtect       20101206.01     9269328           2010-12-06  10.38  -
The Hacker     6.7.0.1         v00096            2010-12-06  0.62   -
VBA32          3.12.14.2       20101203.1003     2010-12-03  3.37   -
VirusBuster    4.5.11.10       10.130.40/2019691 2010-12-06  3.51   -


附样本

langsileaa

上传下文件样本。

henghengxj

langsileaa 发表于 2010-12-9 09:33
上传下文件样本。

感谢

已上传

lwzy2046

360网盾直接报红...

g0ug0u

很有可能不是误报，请lz再检查下
1 他对应的启动方式
2 他有没有当前被加载起来

文件挺大，懒得分析了，但是这样一个看上去标签是微软的文件，实际上却没有任何有效地数字签名，确实有点让人生疑。

henghengxj

又用大蜘蛛cure it和金山云贝壳云查了一遍 也没事
很有可能是误报了

henghengxj

g0ug0u 发表于 2010-12-9 10:12
很有可能不是误报，请lz再检查下
1 他对应的启动方式
2 他有没有当前被加载起来

这样啊  那我再看看

lanjixiong

回复 1楼 henghengxj 的帖子

如果你的系统是盗版 那就很正常的事了

henghengxj

lanjixiong 发表于 2010-12-9 10:22
回复 1楼 henghengxj 的帖子

如果你的系统是盗版 那就很正常的事了

是的 用的盗版xp
我用的版本镜像名字是
[oidvd.com]zh-hans_windows_xp_professional_with_service_pack_3_x86_cd_vl_x14-74070

您指的是 系统被安插了这个木马 还是说盗版的时候必须要替换这个文件？

lanjixiong

回复 9楼 henghengxj 的帖子

这个就不知道了 在天朝的盗版系统里 很少有是真正干净的