瑞星卡卡安全论坛

首页 » 技术交流区 » 可疑文件交流 » Crack.WinImage.(64-bit).8.50.exe是什么
sysys2000 - 2011-9-7 22:52:00
Crack.WinImage.(64-bit).8.50.exe
这个文件从某网站下载运行后,我的Windows 7 64bit 自带的防火墙在重启后就不能用了(如图),前几天上报瑞星后,今天查询结果为“安全文件”。卸载瑞星装卡巴斯基,查出C:\Windows\assembly\GAC_32\Desktop.ini是木马,但杀不掉(Crack.WinImage.(64-bit).8.50.exe被卡巴斯基杀掉了,没备份)。Windows自带防火墙仍然不能用。


 附件: 您所在的用户组无法下载或查看附件
瑞星的结果:
http://mailcenter.rising.com.cn/filecheck/
查询编号:RS20110903142353140191
文件名称:Crack.WinImage.(64-bit).8.50.exe
文件MD5:57B3721724B2412DB45EB01DA238FA63
文件状态:安全文件

用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
networkedition - 2011-9-8 9:21:00
请将Crack.WinImage.(64-bit).8.50.exe压缩跟帖上传。
sysys2000 - 2011-9-9 8:33:00
终于又找出这个文件来了。我当时运行的之后什么反应也没有,重启之后Windows自带防火墙就不能用了,其间开着瑞星。

附件: Crack.WinImage.(64-bit).8.50.zip
networkedition - 2011-9-9 9:27:00
样本已收集反馈。
sysys2000 - 2011-9-9 10:33:00
谢谢你帮助反馈。不过之前我上报过瑞星,这个文件已被认为安全,不知道这次会不会有不同结果。反馈的结果出来后会在这里告知吗?
networkedition - 2011-9-9 10:38:00
这个样本已经入库了,请等待后续的软件升级更新。
networkedition - 2011-9-9 13:20:00
瑞星全功能安全软件版本:23.00.43.83已可以查杀:Trojan.Win32.Generic.12950287
sysys2000 - 2011-9-9 17:27:00
可以杀除这个文件了。但是运行这个木马文件之后造成的Windows自带防火墙不能启动(也许还有其他问题),怎么解决呢?有没有相关的办法?
networkedition - 2011-9-13 9:38:00
windows防火墙无法启动,查看一下事件日志是否有相应的错误提示。
sysys2000 - 2011-9-13 13:04:00
提示代码是7000和7001
7001的提示是
与 Windows Firewall 服务相依的 Windows Firewall Authorization Driver 服务因下列错误而无法启动:
当文件已存在时,无法创建该文件。
7000的提示是
由于下列错误,Windows Firewall Authorization Driver 服务启动失败:
当文件已存在时,无法创建该文件。
(即<Data Name="param1">Windows Firewall Authorization Driver</Data>
<Data Name="param2">%%183</Data>)
我在网上搜了好多次了,没搜到类似错误的解决办法。
----------------------
附7000错误的XML视图详细信息:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
  <EventID Qualifiers="49152">7000</EventID>
  <Version>0</Version>
  <Level>2</Level>
  <Task>0</Task>
  <Opcode>0</Opcode>
  <Keywords>0x8080000000000000</Keywords>
  <TimeCreated SystemTime="2011-09-13T05:00:27.340100000Z" />
  <EventRecordID>88309</EventRecordID>
  <Correlation />
  <Execution ProcessID="532" ThreadID="6940" />
  <Channel>System</Channel>
  <Computer>Song-PC</Computer>
  <Security />
  </System>
- <EventData>
  <Data Name="param1">Windows Firewall Authorization Driver</Data>
  <Data Name="param2">%%183</Data>
  </EventData>
  </Event>
networkedition - 2011-9-13 13:37:00
在服务列表里找到Windows Firewall Authorization Driver 服务,右键属性,查看一下这个服务对应的进程是什么,在相应的目录下查看是否有相关文件。
sysys2000 - 2011-9-13 19:22:00
刚才看,在服务列表里没有“Windows Firewall Authorization Driver ”这个服务了,原来似乎有。

 附件: 您所在的用户组无法下载或查看附件
networkedition - 2011-9-14 9:39:00
打开设备管理器,点击查看——显示隐藏设备,在非即插即用驱动程序里查找Windows Firewall Authorization Driver ,找到后右键属性,点击驱动程序标签,查看这个驱动是否启动。如果没有启动尝试手动启动一下。另在drives目录下查看是否有这个mdsdrv.sys驱动文件。
ps:操作系统类型是什么?是64位操作系统么?
sysys2000 - 2011-9-14 15:50:00
是这样,昨天看一篇文章说到类似的方法,找到了“Windows Firewall Authorization Driver”,有个黄色叹号,后来我给卸载了,然后提示重启,然后就再也找不到了。那文章好像说“扫描硬件检测改动”之后,可以找到这个硬件重新安装,但“扫描硬件检测改动”找不到“Windows Firewall Authorization Driver”了。我用的系统的64位的win7sp1。
networkedition - 2011-9-14 16:01:00
drives目录下查看是否有这个mdsdrv.sys驱动文件?
sysys2000 - 2011-9-14 16:16:00
似乎没有,windows\system\drives\、windows\system32\drives\、windows\system64\drives\、windows\sysWoW64\drives\文件夹下都没找到。我现在用sfc\scannow检查一下试试。
networkedition - 2011-9-14 16:17:00
对,试试那个命令吧。:kaka12:
sysys2000 - 2011-9-14 16:43:00
验证完了,问题依旧。
开始系统扫描。此过程将需要一些时间。
开始系统扫描的验证阶段。
验证 100% 已完成。
Windows 资源保护未找到任何完整性冲突。
networkedition - 2011-9-14 16:52:00
注册表里查看HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc
没有这项。
networkedition - 2011-9-14 16:54:00
以管理員身份运行命令提示符并执行命令

sc config mpssvc start= auto

然后重启电脑, 登录桌面后观察 Windows Firewall 是否启动。
sysys2000 - 2011-9-14 17:24:00
没启动。。。故障依旧。。。。
networkedition - 2011-9-15 9:20:00
不行就重装系统吧,将系统的里重要数据备份,重新安装。
sysys2000 - 2011-9-15 9:31:00
大哥,重装也可以覆盖安装的,不一定先格式化。
1
查看完整版本: Crack.WinImage.(64-bit).8.50.exe是什么
© 2000 - 2025 Rising Corp. Ltd.