瑞星卡卡安全论坛

有个疑似木马病毒，4次被“感染”都是在访问游戏论坛（3个不同的游戏论坛），感染后的特征是在任务栏里每隔5~20秒就有个程序运行图标闪一下，想查看是什么程序在闪，无奈运行时间太短看不出。
经检查系统，每次被这个木马病毒感染后，就会在windows下生成一个文件夹“LastGood\system32\DRIVERS”及在该文件夹下复制有一个文件“HHVRdr.sys”
这个文件是工行网络银行 华虹U盾的驱动程序文件，安装U盾的时候安装在windows\system32\drivers里
同时，C盘所有华虹U盾的驱动程序全部有被替换的痕迹（前3次被感染的时候文件创建时间被修改，这一次也就是第4次文件创建时间不变）。而且连备用盘D盘里的驱动程序文件的创建时间也被更改，说明木马病毒是使用搜索方式覆盖原来的文件而不是程序的自我更新。事实上也正是这个原因我才怀疑是木马病毒。
检查比较“Windows\LastGood\system32\DRIVERS\HHVERdr.sys”与“windows\system32\drivers\HHVERdr.sys”，发现文件内容完全一致（每个对应的字节完全相同）
担心是盗网络银行帐号的木马病毒，但所有杀毒软件对他不报告，所以很困惑，希望各位高手看看是不是木马病毒。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7)

这种情况最难判断

你可以用安全软件阻止你正常的华虹U盾的驱动程序文件被修改，然后看情况如何

请提供被改前的原始驱动文件和改后的你认为是感染过的驱动文件来。

楼上的，用什么安全软件保护华虹驱动程序呢？这个我没做过谢谢。
现在我老婆又催着我要上网买衣衣了，好烦啊，这次在搞清楚这个问题前不想重新安装了，谁能帮我检验这些驱动程序是否有木马啊？总共就4、5个文件。

谢谢天月来了，怎么提供给你？

被改前的驱动程序文件要重装系统才有哎。
不过你提醒我了，下次重装后我会先保存备份再上网。:default6:

文件压缩后以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

ok，那个hhukapi.dll不知道是不是华虹的，名字有点象，也压缩在里面一起了。

附件: 华虹疑似被病毒感染的文件.rar

用了你置顶的那个进程监视器发现在任务栏闪呀闪的那个运行图标是这个东西！
但是这个是工商银行网上下载的华虹驱动安装时就有了的程序，本来不会在任务栏上闪的，现在闪了，是否是由于被病毒感染？

应该不会吧

你将它也复制来看看呢

值得说明的是，这个进程禁止不了。只要一运行这个进程监视器，这个监视窗口就会被他不停的激活:default21: 怎么禁止都没用。另如果不关掉进程监视器，编辑抓图文件都会把监视窗口激活询问是否禁止explorer.exe进程。是否正常？

压缩文件里有这个文件

噢

这东西要监控很多进程活动，得加入白名单才会慢慢减少提示呢

你刚开始，自然提示很多了

已联系工程师去看文件情况了

耐心等吧

可能需要一两天

哦，那要得先确保系统干净才能做，等下次重装系统的时候才好设置了。

谢谢版主，真的被这个木马搞烦了，网银都不敢用。

这完全可以在现在设置也没什么呀

反正不影响你使用

还有具体的看我那贴，有些需要注意的弄一弄，平时注意跳的提示

总之你耐心配合杀毒软件用一阵以后，你就会喜欢它的。

尤其是当它帮你阻止住一两次病毒的运行后，你就知道它的好处了

ok，期待你们的好消息

RISINGCSC回复：

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：

1、文件名：hhukapi.dll
  不是病毒

2、文件名：hhukcert.exe
  不是病毒

3、文件名：HHUKcssh.dll
  不是病毒

4、文件名：hhusb.inf
  不是病毒

5、文件名：hhusb.net.amd64
  不是病毒

6、文件名：hhusb.net.x86
  不是病毒

7、文件名：hhusb.vista.x86
  不是病毒

8、文件名：hhusb.vista.amd64
  不是病毒

9、文件名：hhusb.xp.x86
  不是病毒

10、文件名：hhusbamd64.cat
  不是病毒

11、文件名：hhusbx86.cat
  不是病毒

12、文件名：HHVRdr.SYS
  不是病毒