瑞星卡卡安全论坛

今天安装个combustion3,又发现了usp10病毒，瑞星将它拦截，并将文件删除了。
我将含有病毒的安装包打成RAR包，并将三个文件夹全部删除。

我安装combustion3的流程是：
第一：安装daemon430-lite虚拟光盘程序，生成一个G盘虚拟光盘。
第二：去除WINRAR与ISO相关联的设置。
第三：在daemon430-lite内装入combustion3安装包安装combustion3.
第四：运行combustion3桌面shortcut(我不记得桌面图标中文叫什么称呼了，我只记得英文叫什么shortcut）
第五：瑞星拦载它，说是木马USP10,并删除了combustion.exe文件。
第六：我在设置－控制面板－删除或添加程序内将combustion3安装删除。
第七：将combustion3,daemon430-lite,keygun安装文件夹打包成477M的RAR文件等待处理，并将三个文件夹删除。


现在不知道daemon430-lite生成的虚拟光盘G如何删除，daemon430-lite安装也不知道如何删除。


用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

把木马行为防御里和USP相关的规则删除试试，可能是误报

我一直怀疑，这么多的文件夹都被中了USP10，就这15_combustion3没有中usp10,而且这个文件夹里有EXE文件呀！不能不让人值得怀疑。

combustion3里的文件是ISO文件，与winrar的ISO是不相同的。要用daemon虚拟一个光盘才能打开，我估计，病毒usp10就装在了这个iso文件堆里，瑞星只扫描常规的winrar相关联的iso文件，不能扫描这种daemon才能打开的iso文件。所以它隐在这里面是很安全的，不被发现也是很正常的。

哈哈，这不给我抽出来？

人家这程序在调用usp10.dll或者释放usp10.dll文件，误报吧

呵呵！误报，有那么多误报？！:default4: :default4: ，呵呵！宁可错杀三千，也不能让一个为非作歹！

是瑞星删除了这个combustion3运行程序，你的意思说是瑞星乱删罗？

恩，SPeW和猫叔做的规则不是有针对病毒代码的文件产生动作，而是提示所有动作的，有误报是正常的

上一个查毒报告。

附件: 2009_2_7防毒报告.txt

防御规则只是让自己有个数，不信你随便编辑一条规则将勾全打上，应用规则，随便运行没有添加到白名单的无毒程序，看瑞星啊报，只有当病毒恶意指令列中明确指出病毒的代码特征，并勾选正确的行为动作才能不误报或减少误报，而USP10.DLL病毒有很多变种无法控制，也就没法明确规定病毒代码特征了

注意到这个没Malicious Code(恶意代码)，当你明确指定病毒代码+正确的行为动作，拦截到的不是这一条名称而是这个病毒的名称或代码
上图指出的那个文件是卡卡绑定的，为了不让恶意病毒控制系统重要部分

我精神紧张，我不能跟你玩什么误报，瑞星一说它是USP10，我就认为它是“汶川地震”，灾难，不管三七二十一，立即将它删除！不留手尾。

不用担心的，瑞星病毒库已经增添了病毒代码，用全盘查杀能删除病毒的，防御规则只是一个防御手段，当病毒库出来了就可以删除相关临时规则的

虚惊一场？
怎么不早说？

它能扫描这个ISO文件吗？显然它不能扫描，为什么我装了软件它才误报？
事先，我是用瑞星扫描过这种文件的，为什么瑞星不误报？只有我把它解开安装后才误报？

那是程序实际运行时的行为误报

不是文件数据代码特征的误报

扫描设置中压缩文件有没有打勾

全部文件。

当监控到可执行程序时也会有报告，此时程序并没有运行
也就是说杀软通过编辑的规则等检测到程序内部的数据疑似病毒（如EXE里的DLL挂钩等），所以会报告，这没错吧

汗！
这么点儿事，也至于吵吵？
那日志里有相关文件的路径及其完整的文件名，看看，不就明白了吗。切！

问题是瑞星删除了这个combustion.exe文件，在要运行的时候，也就是说，瑞星已经100%确认它是病毒了，你们说是误报，站在我的立场看，我该怎么做？

那只能信当前运行的瑞星了，为什么？因为它现在在我的电脑里当班呀！为什么？俗话说得好，将在外，军令有所不受。

让它删除combustion,就让它先删除先，等大家搞清楚后，如果是无辜的话再让它出来。

现在我想再安装FLASHFXP，里面有很多帐号密码，这文件已经被USP10污染过了，能不能再用？
我打不定主意。
既然你们说过，扫过，没毒就可用，那我用啦！

生手就是这样的了，疑神疑鬼，肾上素激增。
要不是中了，我也不愿到这里来，来这里干嘛，找切吗？

combustion.exe到底有没有问题，可以搞清楚。请按下图操作，恢复被删除的combustion.exe，打包传上来（如果有与之相关的usp10.dll也一并恢复发上来），看看。不就完了吗！

文件太大个了，传不了，单个附件大小1.95MB，要是传这个文件上去，不知要等多久才行。
我那有这份耐心？

把那两个文件恢复到原位置，用瑞星（最新病毒库）扫一下。如果不报毒，就没问题。瑞星最新病毒库已经可以杀此毒。

不好意思，我看错眼了，是KB来的，而不是MB.
这几天为这事睡眠不好，不好意思。

上来罗！！

附件: combustion恢复.rar

应该是四个文件，有一个恢复以后，不知跑到什么地方去了。
现在只打包得到三个。
我扫一下描先！

三个文件都无毒。

那个.tmp文件是临时文件，可以删除。

扫描后，好象没有病毒，可能是我看走眼了。
不过，不是我删的文件，也不能全怪我，对吧？！

没有怪谁的意思。
只是提醒你：处理问题时要冷静。