學習機罷工?原來是中了檔案夾變exe檔案的病毒Trojan-Dropper.Win32.Flystud.yo
endurer 原創
2009-08-23 第1版
一位朋友的學習機最近罷工了,把學習機接到電腦上,電腦中的江民殺毒軟體就報告發現病毒,但總清除不乾淨。於是請偶通過QQ遠程協助幫忙處理。
學習機接到電腦上後顯示為一個移動盤。用WinRAR開啟它,發現一個名為autorun.inf的檔案,江民隨即報告發現病毒,並把autorun.inf刪除了。在WinRAR視窗可以看到,移動盤中所有的檔案夾都有一個同名的、使用檔案夾表徵圖的.exe檔案,檔案大小都一樣。
用FileInfo提取檔案資訊:
檔案說明符 : I:/Recycle.exe
屬性 : -SHR
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-8-23 21:4:35
修改時間 : 2009-8-23 18:30:56
大小 : 1403788 位元組 1.346 MB
MD5 : 44e574deb844542d0190599227e36e1e
SHA1: ACA46FC759B63A1B42E6E6C3E9C25667A41FFD23
CRC32: 7c06a445
上傳到 http://www.virustotal.com 線上掃描,結果如下:
檔案 Recycle.exe 接收於 2009.08.23 13:17:29 (UTC)
| 反病毒引擎 | 版本 | 最後更新 | 掃描結果 |
| a-squared | 4.5.0.24 | 2009.08.23 | Trojan.Win32.FlyStudio!IK |
| AhnLab-V3 | 5.0.0.2 | 2009.08.23 | - |
| AntiVir | 7.9.1.3 | 2009.08.21 | TR/Dropper.Gen |
| Antiy-AVL | 2.0.3.7 | 2009.08.21 | - |
| Authentium | 5.1.2.4 | 2009.08.22 | W32/Nuj.A.gen!Eldorado |
| Avast | 4.8.1335.0 | 2009.08.22 | Win32:Trojan-gen {Other} |
| AVG | 8.5.0.406 | 2009.08.23 | Worm/Generic.ZXQ |
| BitDefender | 7.2 | 2009.08.23 | GenPack:Backdoor.Generic.195770 |
| CAT-QuickHeal | 10.00 | 2009.08.22 | Win32.Trojan-Dropper.Flystud.ko.5.Pack |
| ClamAV | 0.94.1 | 2009.08.23 | - |
| Comodo | 2069 | 2009.08.23 | UnclassifiedMalware |
| DrWeb | 5.0.0.12182 | 2009.08.23 | Win32.HLLW.Autoruner.4360 |
| eSafe | 7.0.17.0 | 2009.08.20 | Win32.TRDropper |
| eTrust-Vet | 31.6.6694 | 2009.08.21 | - |
| F-Prot | 4.4.4.56 | 2009.08.22 | W32/Nuj.A.gen!Eldorado |
| F-Secure | 8.0.14470.0 | 2009.08.23 | Trojan-Dropper.Win32.Flystud.yo |
| Fortinet | 3.120.0.0 | 2009.08.23 | W32/AutoRun.EV!worm |
| GData | 19 | 2009.08.23 | GenPack:Backdoor.Generic.195770 |
| Ikarus | T3.1.1.68.0 | 2009.08.23 | Trojan.Win32.FlyStudio |
| Jiangmin | 11.0.800 | 2009.08.23 | - |
| K7AntiVirus | 7.10.825 | 2009.08.22 | - |
| Kaspersky | 7.0.0.125 | 2009.08.23 | Trojan-Dropper.Win32.Flystud.yo |
| McAfee | 5717 | 2009.08.22 | W32/Autorun.worm.ev |
| McAfee+Artemis | 5717 | 2009.08.22 | W32/Autorun.worm.ev |
| McAfee-GW-Edition | 6.8.5 | 2009.08.23 | Trojan.Dropper.Gen |
| Microsoft | 1.4903 | 2009.08.23 | Backdoor:Win32/FlyAgent.F |
| NOD32 | 4360 | 2009.08.23 | Win32/AutoRun.FlyStudio.IG |
| Norman | 6.01.09 | 2009.08.21 | W32/Lineage.BYXZ |
| nProtect | 2009.1.8.0 | 2009.08.23 | - |
| Panda | 10.0.0.14 | 2009.08.23 | Generic Trojan |
| PCTools | 4.4.2.0 | 2009.08.23 | - |
| Prevx | 3.0 | 2009.08.23 | High Risk Cloaked Malware |
| Rising | 21.43.50.00 | 2009.08.22 | Trojan.Win32.ECode.ee |
| Sophos | 4.44.0 | 2009.08.23 | Mal/EncPk-GF |
| Sunbelt | 3.2.1858.2 | 2009.08.22 | - |
| Symantec | 1.4.4.12 | 2009.08.23 | - |
| TheHacker | 6.3.4.3.386 | 2009.08.22 | - |
| TrendMicro | 8.950.0.1094 | 2009.08.22 | WORM_AUTORUN.EXP |
| VBA32 | 3.12.10.9 | 2009.08.23 | Trojan-Dropper.Win32.Flystud.ko |
| ViRobot | 2009.8.22.1897 | 2009.08.22 | - |
| VirusBuster | 4.6.5.0 | 2009.08.22 | Backdoor.FlyAgent.BHO |
江民果然檢測不出來。
先把所有與檔案夾都有一個同名、使用檔案夾表徵圖的.exe檔案刪除,然後下載DrWeb CureIt!對該移動盤進行掃描。
掃描結束後,學習機可以正常使用了。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
