Heur.Trojan.Generic是什么病毒？

擎天柱

这个什么病毒？
用什么杀毒工具可以杀？

bg37

比较麻烦 [M07]

Scofield

Heur.Trojan.Generic (修改)释放的文件，该病毒允许攻击者访问你的计算机，窃取密码和个人数据

本文来自：玩毒资讯


出品者： 未知N/A
属于： Heur.Trojan.Generic 本文来自：玩毒资讯

Scofield

病毒名称： AntiVir： HEUR/Malware
Kaspersky： Heur.Trojan.Generic
NOD32v2：-
Rising： -
VT查杀率：21/35 (60%)

EQS Lab编号：080731003
病毒大小： 25.0 KB (25,600 字节)
MD5码： 2955679bd36572d4172abc556e974532
病毒类型： 特洛伊木马
主要传播方式： 网络
测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机
危害程度： 中


病毒行为：

运行后创建dll文件

2008-07-31 18:23:28 创建文件
进程路径:F:\Once\1\1.exe
文件路径:C:\windows\system32\auth.dll
触发规则:所有程序规则->File Rule->?:\*.dll





调用svchost.exe 并修改内存以控制

2008-07-31 18:24:05 运行应用程序
进程路径:F:\Once\1\1.exe
文件路径:C:\windows\system32\svchost.exe
触发规则:所有程序规则->Process protect rule->%windir%\System32\svchost.exe


2008-07-31 18:24:05 修改其它进程内存
进程路径:F:\Once\1\1.exe
目标进程:C:\windows\system32\svchost.exe
触发规则:所有程序规则->Process protect rule->%windir%\System32\svchost.exe





创建自删除bat

2008-07-31 18:24:05 创建文件
进程路径:F:\Once\1\1.exe
文件路径:C:\DEL.bat
触发规则:所有程序规则->File Rule->?:\*.bat

Scofield

Heur.Trojan.Generic (6123t.exe )病毒查杀
3G双线全能空间1元认购 开网店-找友创互联
http://tech.ddvip.com 2008年11月05日 社区交流 收藏本文

关键字： visin.exe Agent.awz dat3c.exe ztaman.dll Kernl32.exe
本文详细介绍Heur.Trojan.Generic (6123t.exe )病毒查杀
　　早上查找资料，上baidu 找，结果打开1个网站的页面，maxthon卡死，随后跳出个realplayer的页面。。

　　就知道中毒了。。

　　先看进程，有个非常可疑的“6123t.exe ”，肯定是毒了，还能是什么，开始杀

　　1，打开冰刃，只有1个6123t.exe，别的一切正常，查看路径 c:6123t.exe，结束这个进程

　　进C盘，居然没系统+隐藏，真嚣张。。

　　rar备份，然后直接删除

　　（我备份的目的是为了上传到“病毒样本”的版块）

　　2，打开文件夹选项，显示隐藏+显示系统

　　3，进system文件夹，为什么进这里？因为木马都喜欢这。

　　进去后马上就发现了好几个exe文件，都是隐藏+系统属性的，然后再查看创建日期，全是2008-5-29的时间

　　这些文件属性不正常，文件名怪异，时间吻合我中毒的时间。删除！

　　4，再进入system32文件夹，这里的文件比较多，看起来很是累，这里有个大家介绍个小技巧

　　右键--排列图标，把”修改时间“和”按组排列“选上，这样可以很容易的显示出病毒文件。。

　　发现了个”.vbs“病毒文件，还有N多的DLL文件，发现在正常模式下不能删除

　　同时在drivers文件夹内发现3个驱动文件，同样不能删除

　　5，文件判断完毕，下面开始注册表的清理工具

　　打开”木马辅助查找器“

　　找到”启动项管理“，全部删除就可以了

　　”文件关联管理“，点”自动修复“

　　6，上面的第5步有个小问题，appinit_dlls不为空，值为我们在第4部发现的N多DLL文件。

　　我用SRENG修复，发现一修复完，病毒又自动修改回去。试了几次都一样

　　没办法，手动吧。打开注册表（运行--regedit），找到appinit_dlls的值，然后一样是修改成空，病毒一样自动改回来。。

　　看来是这些DLL文件已经注入进程了，病毒一发现appinit_dlls被修改成正常值，则立即修改。。

　　病毒DLL最喜欢注入的进程就是IE和explorer.exe，那就用任务管理器结束掉explorer.exe（我这个时候没开浏览器）

　　再次修改appinit_dlls,好了，可以修改了。

　　7。病毒文件判断完毕，注册表也清理完毕，重启，进入安全模式！

　　8，开机狂按F8，进人安全模式，一进入马上进入system32,然后那些改死的DLL文件和驱动文件。。

　　成功删除。别着急，清理下系统垃圾，有可能有什么遗漏的病毒文件隐藏在temp文件夹里

　　有自己写的小工具--"电脑系统垃圾清理工具FileClean",很快，系统垃圾清理完毕。。

　　先不要退出安全模式，看第9步。。

　　9，在安全模式下全盘杀毒！！！

　　这一步我没有操作，因为我认为病毒应该杀完了，而且完全杀毒挺浪费时间。

　　不过还是写出来，给菜鸟朋友看，这样还是比较安全的措施。

　　10，重启进入正常系统，msconfig没有看到可疑的启动项目，C盘里的也没有先前出现的病毒文件。

　　病毒清除完毕

bg37

LS是高手啊 [M21]

擎天柱

引用作者 Scofield 于 2008-11-11发表的原文
病毒名称： AntiVir： HEUR/Malware
Kaspersky： Heur.Trojan.Generic
NOD32v2：-
Rising： -
VT查杀率：21/35 (60%)

EQS Lab编号：080731003
病毒大小： 25.0 KB (25,600 字节)
MD5码： 2955679bd36572d4172abc556e974532
病毒类型： 特洛伊木马
主要传播方式： 网络
测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机
危害程度： 中


病毒行为：

运行后创建dll文件

2008-07-31 18:23:28 创建文件
进程路径:F:\Once\1\1.exe
文件路径:C:\windows\system32\auth.dll
触发规则:所有程序规则->File Rule->?:\*.dll





调用svchost.exe 并修改内存以控制

2008-07-31 18:24:05 运行应用程序
进程路径:F:\Once\1\1.exe
文件路径:C:\windows\system32\svchost.exe
触发规则:所有程序规则->Process protect rule->%windir%\System32\svchost.exe


2008-07-31 18:24:05 修改其它进程内存
进程路径:F:\Once\1\1.exe
目标进程:C:\windows\system32\svchost.exe
触发规则:所有程序规则->Process protect rule->%windir%\System32\svchost.exe

创建自删除bat

2008-07-31 18:24:05 创建文件
进程路径:F:\Once\1\1.exe
文件路径:C:\DEL.bat
触发规则:所有程序规则->File Rule->?:\*.bat

这个病毒最大的危害是什么？
断开网络？关闭杀毒软件？