瑞星卡卡安全论坛企业产品讨论区瑞星2010新品体验挑战专区 提示重启清除,但不能清除的DLL病毒样本

1   1  /  1  页   跳转

提示重启清除,但不能清除的DLL病毒样本

提示重启清除,但不能清除的DLL病毒样本

系统:WINDOWS XP SP2
瑞星版本:22。00。00。81

现象描述:

在虚拟机系统中测试病毒时,发现有一个ofnf病毒进程总在任务管理器中出现(OFNF进程瑞星报:Trojan.Win32.Generic.11ECC97B)。手动结束OFNF.exe进程删除之后,重启仍然发现会启动。

经过分析,发现是2sb2.dll通过explorer.exe创建的OFNF.exe文件(explorer.exe创建OFNF.exe时瑞星的病毒监控并没有发现).

当发现2sb2.dll是释放OFNF.exe的源病毒之后,使用瑞星查杀内存,发现能查杀到这个2sb2.dll病毒,但却提示“清除仅需重启”。重启之后,发现该DLL并没有被成功清除。能不能建议一下,删除不了,就改名屏蔽算了,比如改成2sb2.dll.bak,因为改了名之后,病毒就不能调用这个DLL了.并且瑞星也可以在改名之后就能删除或者是改名之后重启就能删除了.
特提上样本,供工程师分析。

PS:在虚拟机中测试的时候,发现运行wsyscheck时(下载地址:http://www.skycn.com/soft/40121.html),瑞星报未知木马阻止了,但是wsyscheck却成功运行。

另外,在实机中运行wsyscheck却没有任何提示。不知道是不是实机的RIS2010是否失效?

操作在视频中,录制视频时,刚刚测试完病毒。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; baiduds; .NET CLR 1.1.4322)

附件附件:

文件名:OFNF.part1.rar
下载次数:88
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-29 18:03:00
描述:rar

附件附件:

文件名:OFNF.part2.rar
下载次数:94
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-29 18:03:00
描述:rar

附件附件:

下载次数:5191
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-29 18:15:11
描述:rar

最后编辑过客2007 最后编辑于 2009-08-30 12:59:44
传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
分享到:
gototop
 

回复:提示重启清除,但不能清除的DLL病毒样本

楼主为啥不在实机运行啊
虚拟机都过时了
gototop
 

回复:提示重启清除,但不能清除的DLL病毒样本

有些技术是不会过时滴...
传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
gototop
 

回复 3F 过客2007 的帖子

前两个貌似好像不是可疑文件
gototop
 

回复:提示重启清除,但不能清除的DLL病毒样本

下来看看
gototop
 

回复:提示重启清除,但不能清除的DLL病毒样本

能不能建议一下,删除不了,就改名屏蔽算了,比如改成2sb2.dll.bak,因为改了名之后,病毒就不能调用这个DLL了.并且瑞星也可以在改名之后就能删除或者是改名之后重启就能删除了.

顶上去!
传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
gototop
 

回复:提示重启清除,但不能清除的DLL病毒样本

支持下啊
gototop
 

回复:提示重启清除,但不能清除的DLL病毒样本

您的问题已收集,欢迎您继续测试。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT