学习机罢工?原来是中了文件夹变exe文件的病毒Trojan-Dropper.Win32.Flystud.yo
一位朋友的学习机最近罢工了,把学习机接到电脑上,电脑中的江民杀毒软件就报告发现病毒,但总清除不干净。于是请偶通过QQ远程协助帮忙处理。
学习机接到电脑上后显示为一个移动盘。用WinRAR打开它,发现一个名为autorun.inf的文件,江民随即报告发现病毒,并把autorun.inf删除了。在WinRAR窗口可以看到,移动盘中所有的文件夹都有一个同名的、使用文件夹图标的.exe文件,文件大小都一样。
用FileInfo提取文件信息:
文件说明符 : I:/Recycle.exe
属性 : -SHR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-8-23 21:4:35
修改时间 : 2009-8-23 18:30:56
大小 : 1403788 字节 1.346 MB
MD5 : 44e574deb844542d0190599227e36e1e
SHA1: ACA46FC759B63A1B42E6E6C3E9C25667A41FFD23
CRC32: 7c06a445
上传在线扫描,结果如下:
文件 Recycle.exe 接收于 2009.08.23 13:17:29 (UTC)
反病毒引擎 |
版本 |
最后更新 |
扫描结果 |
a-squared |
4.5.0.24 |
2009.08.23 |
Trojan.Win32.FlyStudio!IK |
AhnLab-V3 |
5.0.0.2 |
2009.08.23 |
- |
AntiVir |
7.9.1.3 |
2009.08.21 |
TR/Dropper.Gen |
Antiy-AVL |
2.0.3.7 |
2009.08.21 |
- |
Authentium |
5.1.2.4 |
2009.08.22 |
W32/Nuj.A.gen!Eldorado |
Avast |
4.8.1335.0 |
2009.08.22 |
Win32:Trojan-gen {Other} |
AVG |
8.5.0.406 |
2009.08.23 |
Worm/Generic.ZXQ |
BitDefender |
7.2 |
2009.08.23 |
GenPack:Backdoor.Generic.195770 |
CAT-QuickHeal |
10.00 |
2009.08.22 |
Win32.Trojan-Dropper.Flystud.ko.5.Pack |
ClamAV |
0.94.1 |
2009.08.23 |
- |
Comodo |
2069 |
2009.08.23 |
UnclassifiedMalware |
DrWeb |
5.0.0.12182 |
2009.08.23 |
Win32.HLLW.Autoruner.4360 |
eSafe |
7.0.17.0 |
2009.08.20 |
Win32.TRDropper |
eTrust-Vet |
31.6.6694 |
2009.08.21 |
- |
F-Prot |
4.4.4.56 |
2009.08.22 |
W32/Nuj.A.gen!Eldorado |
F-Secure |
8.0.14470.0 |
2009.08.23 |
Trojan-Dropper.Win32.Flystud.yo |
Fortinet |
3.120.0.0 |
2009.08.23 |
W32/AutoRun.EV!worm |
GData |
19 |
2009.08.23 |
GenPack:Backdoor.Generic.195770 |
Ikarus |
T3.1.1.68.0 |
2009.08.23 |
Trojan.Win32.FlyStudio |
Jiangmin |
11.0.800 |
2009.08.23 |
- |
K7AntiVirus |
7.10.825 |
2009.08.22 |
- |
Kaspersky |
7.0.0.125 |
2009.08.23 |
Trojan-Dropper.Win32.Flystud.yo |
McAfee |
5717 |
2009.08.22 |
W32/Autorun.worm.ev |
McAfee+Artemis |
5717 |
2009.08.22 |
W32/Autorun.worm.ev |
McAfee-GW-Edition |
6.8.5 |
2009.08.23 |
Trojan.Dropper.Gen |
Microsoft |
1.4903 |
2009.08.23 |
Backdoor:Win32/FlyAgent.F |
NOD32 |
4360 |
2009.08.23 |
Win32/AutoRun.FlyStudio.IG |
Norman |
6.01.09 |
2009.08.21 |
W32/Lineage.BYXZ |
nProtect |
2009.1.8.0 |
2009.08.23 |
- |
Panda |
10.0.0.14 |
2009.08.23 |
Generic Trojan |
PCTools |
4.4.2.0 |
2009.08.23 |
- |
Prevx |
3.0 |
2009.08.23 |
High Risk Cloaked Malware |
Rising |
21.43.50.00 |
2009.08.22 |
Trojan.Win32.ECode.ee |
Sophos |
4.44.0 |
2009.08.23 |
Mal/EncPk-GF |
Sunbelt |
3.2.1858.2 |
2009.08.22 |
- |
Symantec |
1.4.4.12 |
2009.08.23 |
- |
TheHacker |
6.3.4.3.386 |
2009.08.22 |
- |
TrendMicro |
8.950.0.1094 |
2009.08.22 |
WORM_AUTORUN.EXP |
VBA32 |
3.12.10.9 |
2009.08.23 |
Trojan-Dropper.Win32.Flystud.ko |
ViRobot |
2009.8.22.1897 |
2009.08.22 |
- |
VirusBuster |
4.6.5.0 |
2009.08.22 |
Backdoor.FlyAgent.BHO |
果然检测不出来。
先把所有与文件夹都有一个同名、使用文件夹图标的.exe文件删除,然后下载DrWeb CureIt!对该移动盘进行扫描。
扫描结束后,学习机可以正常使用了。