Down(4273580).exe是什么病毒？ bbs.ikaka.com

湘缘 - 2009-6-24 17:23:00

C:\Program Files
Down(4273580).exe
Down(4273581).exe
只知道程序运行后任务管理器不能运行，
瑞星防火墙禁止其运行后又生成Down(4273581).exe文件，
再禁止就生成Down(4273582).exe，等等……

附件: 51b340.rar

天月来了 - 2009-6-24 17:26:00

文件压缩发来看

夲號ヱ被ジ盜 - 2009-6-24 18:16:00

不是主文件
只是喽啰
释放后连接网络下载木马
将自身复制到SYSTEM32
你先处理下启动项
弄完后升级特征库扫描
http://cu003.www.duba.net/duba/tools/dubatools/ksm2/ksm2.exe

湘缘 - 2009-6-24 18:44:00

谢谢您的回复，对了，你上图中出现的g8z4.exe和cfa6.exe是什么进程文件？

天月来了 - 2009-6-24 18:49:00

就是运行你上传的那病毒文件的呗

你当他自己也中你那毒了？？？

他那是虚拟机内测试你那病毒文件的。

湘缘 - 2009-6-24 19:15:00

:default87: :default87:

夲號ヱ被ジ盜 - 2009-6-24 19:17:00

那方法你没试试？

湘缘 - 2009-6-24 19:21:00

谢谢7楼了，找不出来啊！:default3: 现在到了4273591了！

hacksdfg - 2009-6-24 20:09:00

可能是U盘病毒。

夲號ヱ被ジ盜 - 2009-6-24 20:41:00

http://cu003.www.duba.net/duba/tools/dubatools/ksm2/ksm2.exe
下载后断网运行安装
晕死你哦:kaka8:
这木马下载器正在下载木马群

湘缘 - 2009-6-25 6:04:00

是晕啊，为什么瑞星查不出来啊……

天月来了 - 2009-6-25 8:25:00

因为这毒部分针对瑞星做了免杀呗

试试用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具 (内附说明）（右键选择“目标另存为”下载）

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

湘缘 - 2009-6-26 8:20:00

谢谢版主了，找到主程序了，就是IEXPLORE.EXE，它每次在创建down文件，现在我把所以程序上传，请看一看是什么病毒。

附件: Internet Explorer.rar

天月来了 - 2009-6-26 8:42:00

IEXPLORE.EXE本身是没问题的，应该是它被病毒程序调用来下载其他病毒而已

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具 (内附说明）（右键选择“目标另存为”下载）

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

湘缘 - 2009-6-26 9:27:00

先谢谢了！好的，刚刚安装了IE7还是存在down病毒，我下SRENGR看看！

湘缘 - 2009-6-26 10:02:00

谢谢了，我现在上传扫描附件！

附件: SREngLogEm.LOG

baohe - 2009-6-26 10:15:00

引用:

原帖由湘缘于 2009-6-24 17:23:00 发表
C:\Program Files
Down(4273580).exe
Down(4273581).exe
只知道程序运行后任务管理器不能运行，
瑞星防火墙禁止其运行后又生成Down(4273581).exe文件，
再禁止就生成Down(4273582).exe，等等……

运行了你提供的Down(4273580).exe

瑞星居然不报毒:kaka6:

这貌似是个考验防火墙性能的病毒。

1、用俺的tiny拦截其网络访问，
2、然后结束相关病毒进程，删除病毒文件。
3、将系统时间由2004－6－26改回现在的时间。
搞掂。:kaka12:

PS：未发现它能禁止任务管理器

天月来了 - 2009-6-26 10:16:00

C:\Program Files\rund1132.exe这文件用解压工具WinRAR依路径打开，找到它压缩发来

然后我置顶工具贴找费尔删除工具，去抑制再生删除那文件去

湘缘 - 2009-6-26 10:41:00

引用:

原帖由 天月来了 于 2009-6-26 10:16:00 发表
C:\Program Files\rund1132.exe这文件用解压工具WinRAR依路径打开，找到它压缩发来

然后我置顶工具贴找费尔删除工具，去抑制再生删除那文件去

晕啊，我没查到rund1132.exe！扫描时down病毒没运行，现在病毒正在运行，我扫描后再上传。

晕晕……，后台扫描怎么没日志了？

天月来了 - 2009-6-26 10:53:00

你就正常扫描呗

非傻傻的去搞什么后台扫描哟:kaka6:

天月来了 - 2009-6-26 10:56:00

没查到rund1132.exe是指怎么个没查到？就简单的手工翻翻文件夹找的？？？

湘缘 - 2009-6-26 11:02:00

引用:

原帖由 天月来了 于 2009-6-26 10:56:00 发表
没查到rund1132.exe是指怎么个没查到？就简单的手工翻翻文件夹找的？？？

整盘搜索查找……

湘缘 - 2009-6-26 11:06:00

唉！非常感谢您的帮忙，真有点不好意思了……:default15:

后台扫描成功，现在上传给你吧！

附件: SREngLogEm.LOG

天月来了 - 2009-6-26 11:14:00

我不是要你去用解压工具WinRAR依路径打开找吗？？

为什么要傻傻的去搜索呢？？

又为什么非得傻傻的搞什么SRENG的后台扫描呢？？

你的系统都严重到非得逼迫着去那么搜索，去那么后台扫描:kaka3:

天月来了 - 2009-6-26 11:18:00

日志没看出什么

建议你稍等一下吧，已联系工程师尽快加库去了:kaka6:

湘缘 - 2009-6-26 11:31:00

引用:

原帖由湘缘于 2009-6-26 11:02:00 发表

引用:

原帖由 天月来了 于 2009-6-26 10:56:00 发表
没查到rund1132.exe是指怎么个没查到？就简单的手工翻翻文件夹找的？？？

整盘搜索查找……

:default20:找到这个文件了！

瑞星工程师19：
1、文件名：rund1132.exe

病毒名：Backdoor.Win32.Pirate.li

您所上报的病毒文件将在瑞星2009的21.36.00版本(瑞星2008的20.103.00版本)中处理
解决。

附件: rund1132.rar

夲號ヱ被ジ盜 - 2009-6-26 18:44:00

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
都报鸽子:kaka5:
你用这个清除工具看看
我的电脑\内存那打钩点SCAN
扫描完后它提示处理
第一个是清除
第二个是删除
第三个是跳过
【英文】

瑞星卡卡安全论坛