疑似误报 bbs.ikaka.com

偶而来看看 - 2008-10-16 19:42:00

前天开始家里两台电脑都在启动讯雷和个别软件是提示感染病毒RootKit.Win32.Undef.sm，文件C:\WINDOWS\system32\drivers\oreans32.sys。找了很多资料无法解决，今天一台电脑重做系统，问题依然在，刚在反病毒区求助也上传文件，大大测试后感觉应该是正常文件，叫我来这区上传文件，注明疑似误报。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: oreans32.rar

RisingCSC - 2008-10-17 13:00:00

建议您全盘杀毒后，卸载当前安装的迅雷软件，从官方网站下载重新安装。

偶而来看看 - 2008-10-17 13:15:00

引用:

原帖由 RisingCSC 于 2008-10-17 13:00:00 发表
建议您全盘杀毒后，卸载当前安装的迅雷软件，从官方网站下载重新安装。

在我重新装系统后，我就不装讯雷了（我下软件都是官方下的）。但是这次启动别的软件报毒的。另外除了瑞星能查杀出来，别的工具查杀的时候没报毒。（病毒无法彻底清除，每次重启动电脑病毒就又恢复）。

晕４ - 2008-10-19 1:29:00

提供日志
和病毒路径

请你按照以下步骤做：

扫日志前关闭无用进程
如QQ，迅雷及播放器程序

到官方下载SReng
下载地址

http://www.kztechs.com/sreng/download.html

解压缩到c:\windows目录下

SREng/智能扫描

等扫描完成,保存日志(LOG格式)

如主程序SREng**.exe无法运行,导致无法扫描日志

把程式名改成123.com/123.bat/123.exe就可以

SRENG工具的扫描日志操作，看这贴2楼

http://bbs.ikaka.com/showtopic-8442813.aspx

日志以附件上传

（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了）
贴到反病毒区，已发帖请跟贴，勿另开新帖。)

tjcum210210 - 2008-10-19 14:32:00

这个文件从文件名和路径看本来应该是AntiARP Sniffer，arp防火墙驱动，你机器里有没有装这个arp防火墙？？

qisiwole6587 - 2008-10-19 18:28:00

注明疑似误报

偶而来看看 - 2008-10-19 21:04:00

引用:

原帖由 tjcum210210 于 2008-10-19 14:32:00 发表
这个文件从文件名和路径看本来应该是AntiARP Sniffer，arp防火墙驱动，你机器里有没有装这个arp防火墙？？

我装了瑞星防火墙。没装别的。

RisingCSC - 2008-10-20 11:57:00

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：

1、文件名：oreans32.sys

病毒名：RootKit.Win32.Undef.sm

偶而来看看 - 2008-10-20 15:31:00

引用:

原帖由 RisingCSC 于 2008-10-20 11:57:00 发表
我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：

1、文件名：oreans32.sys

病毒名：RootKit.Win32.Undef.sm

感谢关注我的问题，现在情况是重做了系统问题依然存在。论坛几个大大也热情帮忙问题到现在还无法解决。

瑞星卡卡安全论坛