奇怪的JOJO_001.exe文件，居然带了两病毒！ bbs.ikaka.com

ANDYNIGHT - 2005-8-29 1:18:00

上网下载了『火影忍者274.rar』，经验告诉我这里边有病毒。
于是用瑞星把压缩包查一遍，但是没有发现病毒。
解压缩后，发觉第一个文件JOJO_001.exe的图标是XP的图片浏览器图标，直觉这应该是病毒，又用最新版本的瑞星查了一次，结果还是没有报病毒。
好奇触动我打开它，结果瑞星实时监控被关闭了，连杀毒软件都打不开（每次点击后无反应，而桌面最下面那栏（任务栏吗？）点击不能（就“噔”的一声））
几次检查后发现进程NTdhcp.exe和Server_Hook.dll，上网查到分别是QQ木马和灰鸽子，都按照网上教程给手工清除了。
结果还是有问题：
1、瑞星杀毒软件的抢先启动功能失效
2、每次登陆后会出现假死的现象，虽然能够打开任务管理器，但看不到CPU占用率很高的情况（任务管理器也卡住了）
3、实时监控没有随着登陆而自动打开，手动打开后小伞不出，但进程里看到RavMon.exe

根据上述情况，请各位高手指教了！m(__)m
附带JOJO_001.exe文件

附件: 572727200582912230.rar

CAJINCHEN - 2005-8-29 1:56:00

已经上报KILL反病毒工程师分析.

8897603 - 2005-8-29 9:23:00

病毒木马被特殊压缩了
作者真NB,EXE捆绑检测机都没查出来
你在右键杀毒的时候,没有发现瑞星查了3个文件吗?

8897603 - 2005-8-29 9:24:00

关于瑞星杀毒软件
啊拉的意见是重装杀软后重启.

1234567111 - 2005-8-29 9:25:00

不是刚出到150集吗怎么会有274集呢

有情人终成眷属 - 2005-8-29 9:46:00

Trojan-Downloader.Win32.Small.bjt
Detection added Aug 28 2005
Behavior TrojanDownloader

昨天可查

ANDYNIGHT - 2005-8-29 10:49:00

【回复“1234567111”的帖子】
150是动画，274是漫画，其实也是骗人的，273刚出不久……

ANDYNIGHT - 2005-8-29 10:54:00

还有灰鸽子那个，已经清除了注册表和文件，但用HIjackthis查还是发现这项：
O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\Server.exe (file missing)
修复来修复去都不行……～（（（m-_-）m

laopang - 2005-8-29 11:40:00

是“阿拉qq大盗”的变种
创建C:\WINDOWS\SYSTEM\NTdhcp.exe、C:\new.exe
创建服务，删除反病毒软件启动项

有情人终成眷属 - 2005-8-29 12:21:00

【回复“laopang”的帖子】

嘻嘻

ANDYNIGHT - 2005-8-29 12:49:00

引用:

【laopang的贴子】是“阿拉qq大盗”的变种
创建C:\WINDOWS\SYSTEM\NTdhcp.exe、C:\new.exe
创建服务，删除反病毒软件启动项
...........................

没见“C:\new.exe”这个文件……

ANDYNIGHT - 2005-8-29 17:15:00

用了测试文件后实时监控无反应：
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
直接查毒却可以，
难道真挂了吗？偶是04版升到05的

命运里の金色 - 2005-8-29 17:29:00

引用:

【ANDYNIGHT的贴子】还有灰鸽子那个，已经清除了注册表和文件，但用HIjackthis查还是发现这项：
O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\Server.exe (file missing)
修复来修复去都不行……～（（（m-_-）m
...........................

在服务里关闭并禁用Pigeon_Server

有情人终成眷属 - 2005-8-29 18:58:00

System Repair Engineer 1.1.0.269 卸载试试

feelfly - 2005-8-29 19:10:00

楼主和昨天我一样也是下了274的火影
刚打开001的时候就卡住了然后监控就自己关了
不过在注册表中找个这个文件删除就好了
然后重起下机器就好了

花落花又开 - 2005-8-29 19:12:00

【回复“ANDYNIGHT”的帖子】
请把此文件打包加密为virus发到我的邮箱rsvirus@163.com

feelfly - 2005-8-29 19:15:00

HKLM\\Run: [NTdhcp] C:\WINDOWS\system32\NTdhcp.exe
在注册表和C盘里找出这个删除就可以

ANDYNIGHT - 2005-8-29 22:37:00

引用:

【命运里の金色的贴子】在服务里关闭并禁用Pigeon_Server
...........................

关闭了，问题解决，谢谢

ANDYNIGHT - 2005-8-29 22:39:00

引用:

【有情人终成眷属的贴子】System Repair Engineer 1.1.0.269 卸载试试
...........................

啥啥？找不到这个软件……┓（┛_┗）┏

ANDYNIGHT - 2005-8-29 22:41:00

引用:

【花落花又开的贴子】【回复“ANDYNIGHT”的帖子】
请把此文件打包加密为virus发到我的邮箱rsvirus@163.com
...........................

对不起，偶菜鸟一个，何谓“打包加密为virus”？
另外病毒本身已打包上传，在一楼。

瑞星卡卡安全论坛