查看: 1926|回复: 10
收起左侧

[求助] 这个是不是误报

[复制链接]
lilinq1w2
发表于 2010-12-12 23:43:20 | 显示全部楼层 |阅读模式

刚换的avast,以前一直用的金山+数字卫士。难道我真的中rootkit啦?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ssama
发表于 2010-12-12 23:47:31 | 显示全部楼层
不清楚
似乎如果这个文件正常的话和网络应用程序有关
广外
发表于 2010-12-13 00:33:28 | 显示全部楼层
如果你以前用的杀软是金山的,那这个结果是很正常的。
BitDefender
发表于 2010-12-13 02:08:01 | 显示全部楼层
提交到样本区分析 在这里没人能告诉你答案
猪头大队
头像被屏蔽
发表于 2010-12-13 08:38:16 | 显示全部楼层
看截图是QQ调用驱动
LZ麻烦把那个驱动文件打包上传到样本区或者virus total看看
hanfeilong
发表于 2010-12-13 09:10:05 | 显示全部楼层
建议楼主将样本发到样本区
lilinq1w2
 楼主| 发表于 2010-12-14 22:53:31 | 显示全部楼层
VirSCAN.org Scanned Report :
Scanned time   : 2010/12/14 22:48:35 (CST)
Scanner results: 56%的杀软(20/36)报告发现病毒
File Name      : npf.sys
File Size      : 31504 byte
File Type      : PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5            : d687bb15cd0994d1c816e99818213bf2
SHA1           : d1c4ca87a264da50b173620c9f03e27941116a48
Online report  : http://virscan.org/report/23941a2e6e18943343890b0cdd876de2.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.1         20101214030638    2010-12-14  5.28   Backdoor.Win32.RtKit!IK
安博士V3       2010.12.14.04   2010.12.14        2010-12-14  1.44   Win-Trojan/Xema.variant
AntiVir        8.2.4.122       7.11.0.31         2010-12-14  0.28   -
安天           2.0.18          20101207.6186214  2010-12-07  0.02   -
Arcavir        2010            201012142220      2010-12-14  0.13   Trojan.Rtkit.122.G
Authentium     5.1.1           201012132238      2010-12-13  1.46   W32/Backdoor2.MRR (Exact)
AVAST!         4.7.4           101214-0          2010-12-14  0.01   Win32:Rootkit-BB [Trj]
AVG            8.5.850         271.1.1/3299      2010-12-06  0.24   BackDoor.Generic9.SAK
BitDefender    7.90123.6413111 7.35094           2010-12-14  5.95   -
ClamAV         0.96.3          12386             2010-12-14  0.02   -
Comodo         4.0             7059              2010-12-14  1.69   -
CP Secure      1.3.0.5         2010.12.14        2010-12-14  0.04   W32.Virut.ce
Dr.Web         5.0.2.3300      2010.12.14        2010-12-14  9.96   -
F-Prot         4.4.4.56        20101213          2010-12-13  1.37   W32/Backdoor2.MRR (exact)
F-Secure       7.02.73807      2010.12.14.09     2010-12-14  0.15   -
飞塔           4.2.254         12.669            2010-12-14  0.18   W32/RtKit_122.G!tr.bdr
GData          21.1292/21.542  20101214          2010-12-14  6.74   Win32:Rootkit-BB [Trj] [Engine:B]
ViRobot        20101214        2010.12.14        2010-12-14  0.41   -
Ikarus         T3.1.32.15.0    2010.12.14.77351  2010-12-14  5.61   Backdoor.Win32.RtKit
江民杀毒       13.0.900        2010.11.30        2010-11-30  1.39   -
卡巴斯基       5.5.10          2010.12.14        2010-12-14  0.09   -
金山毒霸       2009.2.5.15     2010.12.14.18     2010-12-14  0.70   -
迈克菲         5400.1158       6196              2010-12-13  18.66  Generic BackDoor
Microsoft      1.6402          2010.12.14        2010-12-14  4.00   Trojan:Win32/Trafog!rts
Norman         6.06.11         6.06.00           2010-12-07  8.01   W32/OnLineGames.CABI
熊猫卫士       9.05.01         2010.12.13        2010-12-13  4.86   Generic Rootkit     
趋势科技       9.120-1004      7.700.10          2010-12-14  0.02   BKDR_RTKIT.AC
Quick Heal     11.00           2010.12.14        2010-12-14  1.68   Trojan.Agent.irc
瑞星           20.0            22.78.00.04       2010-12-13  3.20   -
Sophos         3.14.1          4.60              2010-12-14  3.03   Mal/Generic-L
Sunbelt        3.9.2459.2      7644              2010-12-13  0.99   Trojan.Win32.Generic!BT
赛门铁克       1.3.0.24        20101213.003      2010-12-13  0.27   -
nProtect       20101214.01     9325165           2010-12-14  10.82  Backdoor/W32.RtKit.31504
The Hacker     6.7.0.1         v00099            2010-12-13  0.43   -
VBA32          3.12.14.2       20101214.1047     2010-12-14  3.17   -
VirusBuster    4.5.11.10       10.130.45/2005982 2010-12-14  2.55   -
rierman
发表于 2010-12-14 23:34:15 | 显示全部楼层
lilinq1w2 发表于 2010-12-12 23:43
刚换的avast,以前一直用的金山+数字卫士。难道我真的中rootkit啦?

参考下7楼,貌似病毒的可能性较大
猪头大队
头像被屏蔽
发表于 2010-12-14 23:58:15 | 显示全部楼层
根据7L来看,应该是有私货
laha369
发表于 2010-12-15 10:04:37 | 显示全部楼层
npf.sys  进程文件: npf 或 npf.sys   进程位置: system32\drivers   程序名称:   程序用途: wincap的一个驱动   进程分析: WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。WinPcap的NPF.SYS驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。   NPF.SYS驱动没有对传送给IOCTL 9031(BIOCGSTATS)的中断请求报文(IRP)参数执行充分的验证,如果向这个IOCTL发送了恶意参数,就可能导致覆盖任意内核内存。在默认安装中,只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载,普通用户也可访问有漏洞的驱动,且在程序退出时也不会卸载驱动,除非手动卸载,否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项,攻击者就可以访问有漏洞的驱动,利用这个漏洞以内核权限执行任意指令。   处理:删除它可能会对部分网络应用程序造成影响。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-3-16 00:01 , Processed in 0.132567 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表