瑞星卡卡安全论坛

求助啊，我的电脑总是自己下载一些数字文件，用瑞星检查是在不停的下载病毒。杀毒扫描发现是一个presafe.sys的程序带有rootkit病毒。每次连上网络以后就自己下载病毒，我反复还原系统多次还是没效果，看卡卡论坛上的做法，用冰剑清理了HBO，替换了文件，但还是没效果，运行一段时间以后就自动把瑞星的各种功能都关闭了，重起以后也无法开启。我用的是林雨风木的XP2，听说是这个小组故意这样的，求助各位高人，小弟跪求解决办法。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


用sseng2扫描了，现在上传报告，各位大哥。救救小弟吧

附件: SREngLOG.log

那就换过啊

怎么换过啊？我是新手，不太清楚怎么弄

http://www.kztechs.com/sreng/download.html
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件

该用户帖子内容已被屏蔽

C:\Documents and Settings\Administrator\Local Settings\Temp

C:\Documents and Settings\Administrator\Local Settings\Temp
bu neng da zi le..

附件: AutoStartOutcome.txt (2009-1-27 17:42:30, 7.11 K)
该附件被下载次数 300

又还原了一次系统，现在裸机上网。病毒发作的时间大概是今天早上3点左右吧，晚上用QVOD看过电影，另外系统装了sandboxie,net limiter 2pro,优化大师和瑞星，现在裸机没装这些，暂时还没发现病毒下载。但我怕安装完以后就病毒会卷土重来

附件: AutoStartOutcome.txt

你把原来系统安装的那些软件的安装包上传或提供下载地址。

启动项：39968DC2
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    命令行：{39968DC2-E0A7-42AE-91F9-8ED6766D89FF}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{39968DC2-E0A7-42AE-91F9-8ED6766D89FF}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{39968DC2-E0A7-42AE-91F9-8ED6766D89FF}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

把可疑启动项发到反病毒区：
http://bbs.ikaka.com/showforum-28.aspx

原来安装包的地址都记不太清楚了。net limiter是按照大软写的地方下的，应该比较安全，然后是优化大师，是从网吧用U盘带回来的，瑞星是电信的主页下的。只有sandboxie是网上下的。

附件: sandboxie.rar

楼主，请把怀疑是病毒的文件上传到多引擎病毒扫描网进行在线扫描，然后把扫描结果复制到卡卡论坛。

VirSCAN.org Scanned Report :
Scanned time  : 2008/11/28 10:08:31 (CST)
Scanner results: 59%的杀软(23/39)报告发现病毒
File Name      : KeyGen 4 Kafan Special Ver.exe
File Size      : 5120 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 9e09de6400e52daa8a1764bf17120a14
SHA1          : 9a112f188e08f58fd0f0f31361081eba37b88640
Online report  : http://virscan.org/report/b5e30175e41336243cda2b2f4a949d20.html

Scanner        Engine Ver      Sig Ver          Sig Date    Time  Scan result
a-squared      4.0.0.26        20081127213325    2008-11-27  3.51  Packed.Win32.Klone.af!IK
安博士V3      2008.11.28.00  2008.11.28        2008-11-28  1.18  Win-Trojan/Packed.5120.B
AntiVir        7.9.0.35        7.1.0.150        2008-11-27  1.55  TR/Packed.4806
安天          2.0.18          20081127.1765065  2008-11-27  0.16  -
Arcavir        1.0.5          200811231052      2008-11-23  1.20  -
Authentium    5.1.1          200811271718      2008-11-27  1.11  W32/Heuristic-210!Eldorado (Heuristic)
AVAST!        3.0.1          081127-1          2008-11-27  0.00  Win32:Trojan-gen {Other}
AVG            7.5.52.442      270.9.11/1816    2008-11-27  1.74  Generic10.RWE
BitDefender    7.81008.2268816 7.22137          2008-11-28  2.06  Trojan.Packed.4806
CA (VET)      9.0.0.143      31.6.6233        2008-11-27  4.13  Win32/VMalum.DABH unknown type.
ClamAV        0.94.1          8690              2008-11-28  0.01  PUA.Packed.NPack-2
Comodo        2.11            2.0.0.712        2008-11-20  0.45  Backdoor.Win32.Delf.avc
CP Secure      1.1.0.715      2008.11.28        2008-11-28  6.38  Troj.PSW.W32.QQPass.cmk
Dr.Web        4.44.0.9170    2008.11.27        2008-11-27  3.65  -
ewido          4.0.0.2        2008.11.27        2008-11-27  3.03  -
F-Prot        4.4.4.56        20081127          2008-11-27  1.12  Possible W32/Heuristic-210!Eldorado (not disinfectable)
F-Secure      5.51.6100      2008.11.27.09    2008-11-27  3.80  -
飞塔          2.81-3.117      9.750            2008-11-27  0.32  -
GData          19.1700/19.126  20081128          2008-11-28  3.43  Win32:Trojan-gen {Other} [Engine:B]
ViRobot        20081126        2008.11.26        2008-11-26  0.40  -
Ikarus        T3.1.01.45      2008.11.27.71923  2008-11-27  3.52  Packed.Win32.Klone.af
江民杀毒      11.0.706        2008.11.27        2008-11-27  1.57  -
卡巴斯基      5.5.10          2008.11.27        2008-11-27  0.06  -
金山毒霸      2008.9.8.18    2008.11.27.20    2008-11-27  1.55  -
迈克菲        5.3.00          5447              2008-11-27  2.62  Generic.dx
Microsoft      1.4104          2008.11.27        2008-11-27  4.06  -
mks_vir        2.01            2008.11.17        2008-11-17  2.57  -
Norman        5.93.01        5.93.00          2008-11-27  5.52  W32/Packed_Nspack.A
熊猫卫士      9.05.01        2008.11.27        2008-11-27  3.30  Trj/Lineage.BZE   
趋势科技      8.700-1004      5.680.09          2008-11-27  0.02  TROJ_PACKED.BEN
Quick Heal    10.00          2008.11.27        2008-11-27  0.96  -
瑞星          20.0            21.05.32.00      2008-11-27  0.95  -
Sophos        2.81.2          4.36              2008-11-28  1.94  Mal/Behav-164
Sunbelt        4674            4674              2008-11-04  1.08  Trojan.Packed
赛门铁克      1.3.0.24        20081127.016      2008-11-27  0.11  Infostealer.Gampass
nProtect      2008-11-27.00  2629878          2008-11-27  3.83  Trojan/W32.Packed.5120
The Hacker    6.3.1.1        v00166            2008-11-27  0.45  W32/Behav-Heuristic-063
VBA32          3.12.8.9        20081127.1053    2008-11-27  1.43  -
VirusBuster    4.5.11.10      10.94.8/729420    2008-11-27  0.94  -

初步判断此文件是病毒，已经下载上报瑞星分析。

我把这个文件删除了还是没有用，只要启动其他的.EXE程序就自动生成一个病毒文件，难道是其他文件被感染？那是不是要把所有的文件都删除然后重新还原C盘？

你把其他的.EXE文件上传到多引擎病毒扫描网进行在线扫描，看看是否报毒？？？

各种文件都上传了，没发现报毒，但是只要一运行就出现纯数字的进程，而且大量占用系统资源，并且自动设置关闭瑞星，和设置文件不显示，要删除也不行，说文件被保护。

           
         
用SREng扫描系统日志，然后上报到反病毒区，进行求助。
Sreng官方下载
SREng/智能扫描（记得勾选“检查进程的数字签名”）
等扫描完成，保存日志（LOG格式）
               
PS：如主程序SREng**.exe无法运行，请将主程序改名为我爱小狮子.bat

或我爱小狮子.scr

扫描后，到反病毒区发帖，并把系统日志放入附件，上报。       

非常感谢各位的帮助，瑞星有时候让我失望了，我下载了几个杀毒软件后发现这是机器狗病毒，用360查杀了。说实话，我还是比较喜欢瑞星的，我也可以理解瑞星的员工春节需要休假，但我还是不得不说下，对于机器狗病毒的事情瑞星没有针对性的查杀，我扫描过无数次都显示无毒，但病毒就一直潜伏在机器里。如果说用户带着不喜欢某款软件的有色眼镜去说软件不好，那无疑是拥护的损失，但让一个拥护你的拥护变的对你不信任，那无疑是软件开发者们的失败与损失。不过，我还是希望瑞星以后能够做的更好。

瑞星回信内容如下：
     
我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
     
1、文件名：KeyGen 4 Kafan Special Ver.exe
  不是病毒
           
2、文件名：SandboxieInstall.exe
  不是病毒


         
提 醒：为保证收到您的来信，请勿直接回复本邮件!!!
-------------------------------------------------------------
发送邮件：请用IE 等浏览器访问网址 http://csc.rising.com.cn
-------------------------------------------------------------
       

中毒了吧？

瑞星的查杀能力就是这样的，正常啊