瑞星卡卡安全论坛

RT。由于最近多位同事用过我的电脑，早上就想用“系统垃圾清理”的bat批处理程序清一下，但双击后突然就本地电脑浏览界面自动关闭，即进程的explorer自动关闭然后自动加载，程序无法打开。我在打开其他类似的bat文件也是如此，有时候会弹出“内存不能为read”的提示框。我在运行里输入cmd和regedit也是如此，在系统文件夹里有cmd.exe和regedit.exe，双击也是同样症状，有时候会弹出无法打开的提示框。
我查毒没有任何问题，上网查资料发现很多类似症状的问题贴，但照他们的操作都没有用。U盘专杀用过（没查到，修复无效），后缀修改也是打不开，用映相劫持修复也没用。现在真的无助了啊！
请各位大侠和版主帮帮我啊！我在论坛也求助过多次，很感谢各位的热心和解决问题的高效！拜托了！现在下班也在线等了！！！！！


RISINGCSC回复
我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：

1、文件名：aoqjrj.ano

  病毒名：Trojan.Spy.Win32.Agent.erj

2、文件名：aoqjrj.anox

  病毒名：Trojan.Spy.Win32.Agent.erj

3、文件名：aoqjrj.anoxxx

  病毒名：Trojan.Spy.Win32.Agent.erj

4、文件名：
aoqjrj.anoxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxx

  病毒名：Trojan.Spy.Win32.Agent.erj
请升级瑞星至最新版本后查杀


附件: 1.log

附件: delf病毒.txt

附件: 病毒样本.rar

扫SRENG日志到这论坛

下载System Repair Engineer(Sreng)

运行SRengLdr.exe→智能扫描→扫描

等扫描完成,保存日志(LOG格式)

日志以附件上传

（点击我回的贴的右下角的“引用”或比较大的“回复”，然后就应该知道怎么以附件发了）

你说的软件我有，以前来求助时保存了

建议下载最新的版本..

已经传了，在主题附件里

晕！怎么没人管了？？？都下班了？？？

是中毒了。

怎么没动静了呢？？？还好我自己解决了！我用360修复IE，再用系统清理助手清理，杀毒软件就可以升级到当前最新病毒库再杀毒。之前病毒库无法更新。是delf.ohr木马，路径：C:\WINDOWS\aoqjrj.ano，上网居然查不到该木马的资料，木马不能删除只能隔离。隔离后系统重启就好了。
但我想问谁知道这种病毒的信息和被感染中招的原因，能不能用文件删除工具直接强行删除，影响系统运行吗？查毒日志上传在附件里，各位高手帮我看看，在线等！

你的日志没问题，所以没人回复。
建议把这个病毒文件发上来。

各家报的名称不一样，所以有的信息忽略了。
还是建议把病毒样本发上来看一下。

一共4个文件，我已经打包在附件里。感觉破坏性并不强。可以手动直接删除。

VirSCAN.org Scanned Report :
Scanned time  : 2009/05/08 10:54:39 (CST)
Scanner results: 16%的杀软(6/38)报告发现病毒
File Name      : aoqjrj.ano
File Size      : 22528 byte
File Type      : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5            : dd68763f0a3fd7b726a2e85f1dd22539
SHA1          : 1473be44a1043c8bcd2c40c91aeaadf385f997a6
Online report  : http://virscan.org/report/01ff37d0956d293f5829416c733ef346.html

Scanner        Engine Ver      Sig Ver          Sig Date    Time  Scan result
a-squared      4.0.0.32        20090508083248    2009-05-08  2.01  Trojan.Win32.Small!IK
安博士V3      2009.05.08.00  2009.05.08        2009-05-08  0.63  -
AntiVir        8.2.0.160      7.1.3.171        2009-05-07  0.17  TR/Agent.imh
安天          2.0.18          20090507.2369451  2009-05-07  0.12  -
Arcavir        2009            200905071904      2009-05-07  0.04  -
Authentium    5.1.1          200905071848      2009-05-07  1.14  -
AVAST!        4.7.4          090505-0          2009-05-05  0.00  Win32:Rootkit-gen [Rtk]
AVG            8.5.286        270.12.21/2103    2009-05-08  3.21  -
BitDefender    7.81008.2902285 7.25264          2009-05-08  2.71  -
CA (VET)      9.0.0.143      31.6.6494        2009-05-08  3.77  -
ClamAV        0.95            9343              2009-05-08  0.01  -
Comodo        3.8            1154              2009-05-06  0.68  -
CP Secure      1.1.0.715      2009.05.08        2009-05-08  8.87  -
Dr.Web        4.44.0.9170    2009.05.07        2009-05-07  4.50  Trojan.DownLoad.36250
F-Prot        4.4.4.56        20090507          2009-05-07  1.14  -
F-Secure      5.51.6100      2009.05.08.01    2009-05-08  0.06  -
飞塔          2.81-3.117      10.364            2009-05-07  0.22  -
GData          19.5090/19.323  20090508          2009-05-08  4.53  -
ViRobot        20090507        2009.05.07        2009-05-07  0.41  -
Ikarus        T3.1.01.49      2009.05.07.72684  2009-05-07  2.81  Trojan.Win32.Small
江民杀毒      11.0.706        2009.05.07        2009-05-07  3.39  -
卡巴斯基      5.5.10          2009.05.07        2009-05-07  0.05  -
金山毒霸      2009.2.5.15    2009.5.7.18      2009-05-07  7.70  -
迈克菲        5.3.00          5608              2009-05-07  2.84  -
Microsoft      1.4602          2009.05.08        2009-05-08  4.98  Trojan:Win32/Seekwel.A
mks_vir        2.01            2009.05.07        2009-05-07  2.74  -
Norman        6.01.05        6.01.00          2009-05-07  4.01  -
熊猫卫士      9.05.01        2009.05.07        2009-05-07  1.71  -
趋势科技      8.700-1004      6.116.04          2009-05-07  0.03  -
Quick Heal    10.00          2009.05.06        2009-05-06  1.12  -
瑞星          20.0            21.28.32.00      2009-05-07  3.49  -
Sophos        2.86.0          4.41              2009-05-08  2.27  -
Sunbelt        5127            5127              2009-05-07  3.93  -
赛门铁克      1.3.0.24        20090507.003      2009-05-07  0.10  -
nProtect      20090506.01    3583152          2009-05-06  5.07  -
The Hacker    6.3.4.1        v00321            2009-05-07  0.60  -
VBA32          3.12.10.4      20090507.1035    2009-05-07  2.51  -
VirusBuster    4.5.11.10      10.105.19/1341084 2009-05-07  1.66  -

C:\WINDOWS\aoqjrj.ano
导入删除
既然微软报
那么用这个试试
http://download.microsoft.com/download/4/A/A/4AA524C6-239D-47FF-860B-5B397199CBF8/windows-kb890830-v2.9.exe

附件: XDelBox.rar

楼主提供的样本已反馈瑞星分析。

我知道这个是病毒，而且破坏性不大，但潜伏性很强。想知道这个病毒的相关信息，以及如何感染触发。有哪位知晓人请告知，以后好预判。谢谢！

AVAST!      报  Win32:Rootkit-gen [Rtk]，搜索这个病毒名称可以找到老病毒的相关信息。

要注意一下注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
的netsvcs键的内容，看看比正常的多了哪一个服务项。

Win32:Rootkit-gen [Rtk]？感觉好像和这病毒没关系。注册表里netsvcs的服务内容有AuthenticationCapabilities=12320和CoInitializeSecurityParam=1。应该是正常的吧？

AVAST!        4.7.4          090505-0          2009-05-05  0.00  Win32:Rootkit-gen [Rtk]

另外一个说错了，是看一下[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]下有几个服务项，除了以下之外有没有可疑的

该用户帖子内容已被屏蔽