今天发现一个病卡巴不报

wangjy908707

一种名叫setup.exe的病毒，在电脑里面找不到这种名称的病毒，但一用U盘，马上自动复制一个这种名称的病毒，在进程里面也看不到什么可疑的进程，不知怎么回事。向各位高手们请教啦，如果对此样本病毒感兴趣的话，我可以到办公室后发一个过来

mofunzone

全抓

Starting the file scan:

Begin scan in 'C:\Documents and Settings\morgan\My Documents\setup.rar'
C:\Documents and Settings\morgan\My Documents\
  setup.rar
    [0] Archive type: RAR
    --> setup.exe
        [DETECTION] Contains suspicious code HEUR/Crypted
        [WARNING]   Infected files in archives cannot be repaired!
        [WARNING]   The file was ignored!

扫描日志
NOD32版本 2288 (20070524) NT
命令行： C:\Documents and Settings\morgan\My Documents\ ?
?setup.rar
正在检查NOD32.EXE文件的CRC：状态正常
D:\Eset\nod32.exe - 是正常的
扫描系统内存中：没有进行 (选项已关闭)
扫描MBR及引导区中：没有进行 (选项已关闭)
日期： 24.5.2007  时间：22:25:21
已关闭反隐藏功能.
已扫描的磁盘，文件夹及文件：C:\Documents and Settings\ ?
?morgan\My Documents\setup.rar
C:\Documents and Settings\morgan\My Documents\setup.rar  ?
?>>RAR >>setup.exe - Win32/Small.R 蠕虫
已扫描的文件数目：2
已发现的病毒数目：1
活动的病毒数目：1
完成时间： 22:25:39 总扫描时间：18 秒 (00:00:18)


[Scan path] C:\Documents and Settings\morgan\My Documents\setup.rar
>>C:\Documents and Settings\morgan\My Documents\setup.rar\setup.exe infected with Trojan.DownLoader.21340
C:\Documents and Settings\morgan\My Documents\setup.rar - archive contains infected objects

Redevil

卡7的没启发出来
已经上报

mofunzone

一会告诉你怎么清理，这个病毒用了hips的弱点，同名的windows文件。。

mofunzone

删除之前注意效验md5，给你效验工具
去c:\windows 看看有没有一个叫update.bak的文件，没有就算了，这个无所谓
md5:3b0f6bbab4219455083cb413a8975cfb
sha1:4c7b71a3b0f52889835f0ab82ec058e4f01813cf
crc32:de78d85b
下面这个是主要的，一定效验好md5，和正常文件同名
忘了写了，别忘了选上显示受保护的系统文件和显示全部文件，不然看不见的
去c\windows\system32下找一个svchost.exe
md5:a3c28548fce3c3dcd326cf8d15a675b6
sha1:47ce3893fb68406b061376c134eadd0b80c74d59
crc32:a08e53c7
删除了就ok，病毒解除

[ 本帖最后由 mofunzone 于 2007-5-24 21:43 编辑 ]

moonsilver

红伞不报，绿伞不报

promised

原帖由 mofunzone 于 2007-5-25 13:31 发表
一会告诉你怎么清理，这个病毒用了hips的弱点，同名的windows文件。。

在学校，木有设规则
2007-05-25 13:37:43 安装服务或者驱动
操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\SVKP.sys

solcroft

原帖由 mofunzone 于 2007-5-25 15:01 发表
一会告诉你怎么清理，这个病毒用了hips的弱点，同名的windows文件。。

愿问详情

promised

原帖由 solcroft 于 2007-5-25 13:39 发表

愿问详情

和EQ一样

tracydk

原帖由 solcroft 于 2007-5-25 13:39 发表

愿问详情

cyberhawk不玩了?我在用,不过不敢运行病毒..没影子啊