瑞星卡卡安全论坛

电脑自动安装金山毒霸还有风行！！
删了还是安装，疑似病毒啊！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

扫描报告发上来

按版规需要上传SREng的扫描报告，如果需要具体解决办法也需SREng的扫描报告
点击下载：SREng

一：使用它扫描日志，将日志作为附件上传上来。
操作方法：
1、下载后解压缩，运行SREngLdr.exe；
2、如果无法打开尝试把SREngLdr.exe改名为123.BAT运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】

二：为了减少对病毒的误判，和对病毒准确定位，最好同时上传金山清理专家日志
点击下载：金山清理专家
使用方法：金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

三：如都以上软件无法正常运行,下载下面的软件：
修改版SRENG

先把报告给我们！
动作要快....

这是报告
另外桌面上还会出现一个IE浏览器，和原来的一模一样！

附件: SREngLOG.log (2009-2-7 10:42:12, 59.05 K)
该附件被下载次数 229

IE浏览器？是快捷方式？

C:\Downloads\tmp_48044.exe这个文件看看是你的什么

还有你运行两个SRENG工具干嘛？

那个文件看不到，而且那个文件夹无法删除

建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


C:\Downloads\tmp_48044.exe

上面写的是windows的升级包

............
假的吧
文件发上来看看

复制出来不行吗？？

那就任务管理器里终止它的进程，然后复制压缩呗

压缩呀

就是这个

附件: tmp_48044.rar

删除它到回收站去

我用那个软件删了，一会儿再看看他会不会再自动安装。
先谢过各位了，感激涕林啊！！

各位，我又回来了，看来问题不在那里，我刚刚打开QQ，桌面上就出现一个IEXPLORE，文件名就是这个。

？
QQ
是运行的桌面的快捷方式么？

看看QQ快捷方式指向的是什么文件？

现在是IE自动启动，然后就打开一个网页，但是那个网页打不开的

请找到c:\windows\system32\appmgmts.dll这个文件，右键选择“属性”，把下图发上来：

运行那个“升级程序”病毒后，桌面自动生成QQ、暴风、IE的假快捷方式，但目标都指向硬盘中的正确软件地址？

再来最新日志看

如果没解决问题

可能是(转的):
金山毒霸与流氓为伍?今天晚上下班前接到几例用户反馈，称其电脑莫名其妙被安装上了金山毒霸2009套装，且每次一连网半个小时后就安装好了。

搜索了一下论坛的相关反馈如下：
http://bbs.duba.net/thread-22019140-1-6.html
金山客服中心紧急联系到了一位有相关现象咨询的用户，并提取了样本。

      样本捆绑在该用户下载的暴风影音的安装文件中，该安装包实际上是一个自解压包。里面有未修改过的暴风影音安装包与病毒运行脚本，脚本会在运行暴风影音安装包的同时执行病毒文件。如图所示自解压包中含有病毒体文件svchost.exe（非系统文件）：

关于该病毒的简略概述：
1.该病毒会检测是否在安装了QQ，如没装的话将终止运行。
2.将病毒体QQ.exe复制到QQ2009目录并设置为隐藏。如复制失败的话，会复制到之前版本的QQ目录下。
此文件毒霸报毒为：Win32.Hack.Agent.155136
3.下载安装金山毒霸2009、酷我音乐盒、UUsee网络电视、PPlive、飞信等软件。如图所示：

小结：
      软件安装包程序建议从各个厂商官方网站下载，并确认是否含有数字签名。如没有数字签名的安装程序，建议校验程序发布者提供的Hash值。

从winrar的图中看，批处理的位置，批处理程序已经被公开了．．