是木马吗？为什么瑞星杀不出来？ bbs.ikaka.com

豆芽豆 - 2010-8-15 16:00:00

:kaka2: 隔几分钟就报警
报警：发现未知木马阻止其运行

规则 ID: 536870920
进程: C:\WINDOWS\SYSTEM32\INSTM32.EXE;
相关文件: C:\INSTB32.SYS;

:kaka2: 日志里发现一项危险行为被允许是什么意思？
来源：危险行为处理结果：允许
规则 ID: 268435458
进程: C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERKILLERA86.EXE;
相关文件:

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)

万事达 - 2010-8-15 16:13:00

请楼主提供瑞星版本号，木马行为防御什么级别，打开瑞星/日志/操作/备份日志，导出日志上传，同时请提供以下文件：
C:\WINDOWS\SYSTEM32\INSTM32.EXE;
C:\INSTB32.SYS;
C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERKILLERA86.EXE;

豆芽豆 - 2010-8-15 16:43:00

引用:

原帖由 万事达 于 2010-8-15 16:13:00 发表
请楼主提供，，打开瑞星/日志/操作/备份日志，导出日志上传，同时请提供以下文件：
C:\WINDOWS\SYSTEM32\INSTM32.EXE;
C:\INSTB32.SYS;
C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERK......

瑞星版本号:22.60.06.02
木马行为防御级别:

C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERKILLERA86.EXE 不知道怎么回事，这个文件我找不到

附件: 1.zip

豆芽豆 - 2010-8-15 16:50:00

C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERKILLERA86.EXE 这个进程路径拒绝访问

豆芽豆 - 2010-8-15 16:56:00

日志

附件: a.txt

帅哥坐车不用票 - 2010-8-15 18:27:00

正确贴图方法请参考http://bbs.ikaka.com/showtopic-8616820.aspx
文件并不报毒，应该是触发了瑞星的规则

豆芽豆 - 2010-8-15 18:29:00

什么规则呀？该怎么弄

豆芽豆 - 2010-8-15 20:24:00

没有人懂吗

kingyan - 2010-8-15 21:59:00

没有发现INSTM32.EXE和INSTB32.SYS是病毒，楼主先把瑞星的木马防御关闭吧。贸然清除这两个文件可能会有问题。

追梦女孩 - 2010-8-15 22:40:00

(1)既然报出了木马行为并且阻止了其运行，就没有什么危害了。
（2）日志里发现的危险行为应该和之前的木马没有什么关系吧，根本就是不同的进程。至于究竟是不是木马，楼主可以将它上报到瑞星的云安全中心等待检测结果。

豆芽豆 - 2010-8-16 9:24:00

有没有权威一点的解决方案？瑞星每隔几分钟就跳出来提示有木马阻止其运行，但杀毒杀不出来，我到底该怎么办？

豆芽豆 - 2010-8-16 9:25:00

灌水的请绕道

天月来了 - 2010-8-16 9:28:00

那个得等工程师看了后取消那个程序行为的误报

这程序行为实在难折腾

无数病毒的行为和正常软件的行为是几乎相同的。

等过一阵升级新版本再看吧

networkedition - 2010-8-16 9:55:00

请重新上传截图，你上传的截图无法查看。参考下面的帖子。
关于如何截图和以附件形式发图到论坛
http://bbs.ikaka.com//showtopic-8616820.aspx

networkedition - 2010-8-16 9:57:00

将瑞星日志导出打包上传，鼠标右键点击绿伞——查看日志——操作——备份数据，将日志保存打包上传。

RisingInternElit - 2010-8-16 11:12:00

一般情况下，inst开头的exe程序，是Intel芯片组主板驱动程序。如果你没有安装驱动等情况，而出现这种情况，那么最好是考虑该文件是木马程序，通过杀毒软件或将这些文件上传到相关网站进行分析后，再决定删除与否。

如有问题，站内短信回复我。

豆芽豆 - 2010-8-16 13:37:00

引用:

原帖由 networkedition 于 2010-8-16 9:57:00 发表
将瑞星日志导出打包上传，鼠标右键点击绿伞——查看日志——操作——备份数据，将日志保存打包上传。

前面有打包附件的，我现在再传一次。麻烦请彻底实质生地解决一次

附件: 1.rar

networkedition - 2010-8-16 13:58:00

文件已在文件上传中心上报。
上报文件成功！
查询编号：RS20100816134750968268
为查询文件分析结果，请记录此编号。谢谢您的参与！
请按15楼方法上传日志db文件，lz上传的txt日志，只能看到处理结果，还有请重新发截图，具体方法参考14楼。

豆芽豆 - 2010-8-16 14:48:00

引用:

原帖由 networkedition 于 2010-8-16 13:58:00 发表
文件已在文件上传中心上报。
上报文件成功！
查询编号：RS20100816134750968268
为查询文件分析结果，请记录此编号。谢谢您的参与！
请按15楼方法上传日志db文件，lz上传的txt日志，只能看到处理结果，还有请重新发截图，具体方法参考14楼。

日志里发现一项危险行为被允许是什么意思？
来源：危险行为处理结果：允许
规则 ID: 268435458
进程: C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERKILLERA86.EXE;
相关文件:

C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERKILLERA86.EXE;
这个路径不知什么原因无法打开，我有截图

附件: 2.rar

networkedition - 2010-8-16 15:10:00

下载这个工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=486266 将C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERKILLERA86.EXE尝试提取打包上来，lz具体做什么操作后有此拦截提示的。

豆芽豆 - 2010-8-16 16:04:00

引用:

原帖由 networkedition 于 2010-8-16 15:10:00 发表
下载这个工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=486266 将C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERKILLERA86.EXE尝试提取打包上来，lz具体做什么操作后有此拦截提示的。

无法下载，没信号。
我在开始菜单搜索C:\WINDOWS\SYSTEM32\INSTM32.EXE，也会有提示。
平时没注意是什么情况下出现的，今天平时没出现提示了，只会在搜索时出现提示。

networkedition - 2010-8-16 16:16:00

C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SUPERKILLERA86.EXE 没文件不好分析呀:kaka6:

豆芽豆 - 2010-10-27 10:23:00

引用:

原帖由 天月来了 于 2010-8-16 9:28:00 发表
那个得等工程师看了后取消那个程序行为的误报

这程序行为实在难折腾

无数病毒的行为和正常软件的行为是几乎相同的。

等过一阵升级新版本再看吧

几个月了，我的电脑还是一直跳出来报警说有木马，重装系统了也一样，瑞星也升了很多次级了，怎么这问题还是没解决？？？

networkedition - 2010-10-27 10:52:00

看文件路径ms是华硕笔记本相关的程序，lz尝试将此程序加入木马行为防御白名单试试
参考此帖：http://bbs.ikaka.com/showtopic-8674956.aspx

networkedition - 2010-10-27 11:12:00

lz将qq号通过站内短消息发给我，我远程看一下。

夲號ヱ被ジ盜 - 2010-10-27 12:15:00

1.zip
INSTB32.SYS由INSTB32.EXE创建，安装“INSTB32”系统服务，并之后删除这个服务
不能直接判断INSTB32.EXE就是病毒，不过向C:\释放INSTB32.SYS这个可疑

瑞星卡卡安全论坛