学习机罢工？原来是中了文件夹变exe文件的病毒Trojan-Dropper.Win32.Flystud.yo

学习机罢工？原来是中了文件夹变exe文件的病毒Trojan-Dropper.Win32.Flystud.yo

endurer 原创
2009-08-23 第1版

 

　　一位朋友的学习机最近罢工了，把学习机接到电脑上，电脑中的江民杀毒软件就报告发现病毒，但总清除不干净。于是请偶通过QQ远程协助帮忙处理。

 

　　学习机接到电脑上后显示为一个移动盘。用WinRAR打开它，发现一个名为autorun.inf的文件，江民随即报告发现病毒，并把autorun.inf删除了。在WinRAR窗口可以看到，移动盘中所有的文件夹都有一个同名的、使用文件夹图标的.exe文件，文件大小都一样。

 

　　用FileInfo提取文件信息：

 

文件说明符 : I:/Recycle.exe
属性 : -SHR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-8-23 21:4:35
修改时间 : 2009-8-23 18:30:56
大小 : 1403788 字节 1.346 MB
MD5 : 44e574deb844542d0190599227e36e1e
SHA1: ACA46FC759B63A1B42E6E6C3E9C25667A41FFD23
CRC32: 7c06a445

 

　　上传到 http://www.virustotal.com 在线扫描，结果如下：

 

文件 Recycle.exe 接收于 2009.08.23 13:17:29 (UTC)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.24	2009.08.23	Trojan.Win32.FlyStudio!IK
AhnLab-V3	5.0.0.2	2009.08.23	-
AntiVir	7.9.1.3	2009.08.21	TR/Dropper.Gen
Antiy-AVL	2.0.3.7	2009.08.21	-
Authentium	5.1.2.4	2009.08.22	W32/Nuj.A.gen!Eldorado
Avast	4.8.1335.0	2009.08.22	Win32:Trojan-gen {Other}
AVG	8.5.0.406	2009.08.23	Worm/Generic.ZXQ
BitDefender	7.2	2009.08.23	GenPack:Backdoor.Generic.195770
CAT-QuickHeal	10.00	2009.08.22	Win32.Trojan-Dropper.Flystud.ko.5.Pack
ClamAV	0.94.1	2009.08.23	-
Comodo	2069	2009.08.23	UnclassifiedMalware
DrWeb	5.0.0.12182	2009.08.23	Win32.HLLW.Autoruner.4360
eSafe	7.0.17.0	2009.08.20	Win32.TRDropper
eTrust-Vet	31.6.6694	2009.08.21	-
F-Prot	4.4.4.56	2009.08.22	W32/Nuj.A.gen!Eldorado
F-Secure	8.0.14470.0	2009.08.23	Trojan-Dropper.Win32.Flystud.yo
Fortinet	3.120.0.0	2009.08.23	W32/AutoRun.EV!worm
GData	19	2009.08.23	GenPack:Backdoor.Generic.195770
Ikarus	T3.1.1.68.0	2009.08.23	Trojan.Win32.FlyStudio
Jiangmin	11.0.800	2009.08.23	-
K7AntiVirus	7.10.825	2009.08.22	-
Kaspersky	7.0.0.125	2009.08.23	Trojan-Dropper.Win32.Flystud.yo
McAfee	5717	2009.08.22	W32/Autorun.worm.ev
McAfee+Artemis	5717	2009.08.22	W32/Autorun.worm.ev
McAfee-GW-Edition	6.8.5	2009.08.23	Trojan.Dropper.Gen
Microsoft	1.4903	2009.08.23	Backdoor:Win32/FlyAgent.F
NOD32	4360	2009.08.23	Win32/AutoRun.FlyStudio.IG
Norman	6.01.09	2009.08.21	W32/Lineage.BYXZ
nProtect	2009.1.8.0	2009.08.23	-
Panda	10.0.0.14	2009.08.23	Generic Trojan
PCTools	4.4.2.0	2009.08.23	-
Prevx	3.0	2009.08.23	High Risk Cloaked Malware
Rising	21.43.50.00	2009.08.22	Trojan.Win32.ECode.ee
Sophos	4.44.0	2009.08.23	Mal/EncPk-GF
Sunbelt	3.2.1858.2	2009.08.22	-
Symantec	1.4.4.12	2009.08.23	-
TheHacker	6.3.4.3.386	2009.08.22	-
TrendMicro	8.950.0.1094	2009.08.22	WORM_AUTORUN.EXP
VBA32	3.12.10.9	2009.08.23	Trojan-Dropper.Win32.Flystud.ko
ViRobot	2009.8.22.1897	2009.08.22	-
VirusBuster	4.6.5.0	2009.08.22	Backdoor.FlyAgent.BHO

 

　　江民果然检测不出来。

 

　　先把所有与文件夹都有一个同名、使用文件夹图标的.exe文件删除，然后下载DrWeb CureIt!对该移动盘进行扫描。

 

　　扫描结束后，学习机可以正常使用了。