卡巴斯基提示c:\windows\system32\msconfig.exe包含木马程序

卡巴斯基提示c:\windows\system32\msconfig.exe包含木马程序：Trojan-Dropper.Win32.Agent.zgu

但是怎么也删不掉，删了重启又会出现提示，经过清理助手扫描也没发现可疑程序，请问是误报还是真的是病毒？

msconfig.exe文件传上来

请过目，谢谢

确实是病毒！用助手的自定义对象清理下看看！

已用自定义对象来查杀，但是重启后仍然发现原目录中还有该执行文件，并提示发现木马程序，已重试两次都是这样的结果，无奈啊

安全模式下用助手扫描呢？扫描前先清理下临时文件，置顶工具帖中有清理工具

[b]1.建议使用XDelBox删除以下文件：[/b]([url=http://www.i170.com/attach/B6C6A54A-8037-45BB-B840-709B8B99BAFE]电信下载[/url]；[url=http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2878818]网盘下载[/url])
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择[color=red]剪贴板导入不检查路径[/color]，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行自动删除操作,然后会自动重启到桌面

c:\windows\system32\msconfig.exe
c:\windows\system32\mmutilse.exe
c:\windows\system32\mcvcea.exe（这个上传上传到这里查查[url=http://www.virustotal.com]www.virustotal.com[/url],如有问题。在删）

[b]2.删除重启后使用SREng修复下面各项：[/b]

    启动项目 －－ 注册表之如下项删除：
[msconfig]    <C:\WINDOWS\system32\msconfig.exe /ALL>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[NT LM Security Support(RPC) / NT LM Security Support(RPC)]    <C:\WINDOWS\system32\mmutilse.exe runsrv /name:"NT LM Security Support(RPC)" /prinum:"32" /cmdline:"C:\WINDOWS\system32\mcvcea.exe">

[color=green][b]**************以上分析报告由SREngLog分析助手提供******************[/b][/color]
[color=purple]分析：whzl123

附件中的替换路径为
c:\windowpchealth\helpctr\binaries\
c:\windows\system32\dllcache

文件 mcvcea.exe 接收于 2008.11.20 14:40:19 (CET)
当前状态: 正在读取 ... 队列中 等待中 扫描中 完成 未发现 停止
[img=220,19]http://www.virustotal.com/img/loader.gif[/img]
结果: [color=red]3[/color]/36 (8.34%)

正在读取服务器信息中...
您的文件所排队列位置: ___.
预计开始时间为 ___ 和 ___
之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.
[align=right][float=left][size=11px][img=14,14]http://www.virustotal.com/img/compress-icon.png[/img] [url=http://www.virustotal.com/zh-cn/analisis/28af9d8ff8c74f38bc515286e581203e#][color=#0000ff]格式化文本[/color][/url] [/size][/float]
[size=11px][color=#0000ff]打印结果[/color] [img=14,14]http://www.virustotal.com/img/print-icon.png[/img] [/size]
[/align]

您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置:
). 您可以继续等待回应 ([b]自动读取[/b]) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.  [table=98%][tr][td=1,1,40%]Email:[/td][td][/td][/tr][tr][td][/td][td][/td][/tr][/table]


[table=550][tr]反病毒引擎版本最后更新扫描结果[/tr][tr][td]AhnLab-V3[/td][td]2008.11.20.3[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]AntiVir[/td][td]7.9.0.34[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]Authentium[/td][td]5.1.0.4[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]Avast[/td][td]4.8.1281.0[/td][td]2008.11.19[/td][td]-[/td][/tr][tr][td]AVG[/td][td]8.0.0.199[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]BitDefender[/td][td]7.2[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]CAT-QuickHeal[/td][td]10.00[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]ClamAV[/td][td]0.94.1[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]DrWeb[/td][td]4.44.0.09170[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]eSafe[/td][td]7.0.17.0[/td][td]2008.11.19[/td][td]Suspicious File[/td][/tr][tr][td]eTrust-Vet[/td][td]31.6.6219[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]Ewido[/td][td]4.0[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]F-Prot[/td][td]4.4.4.56[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]F-Secure[/td][td]8.0.14332.0[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]Fortinet[/td][td]3.117.0.0[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]GData[/td][td]19[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]Ikarus[/td][td]T3.1.1.45.0[/td][td]2008.11.20[/td][td]Trojan.Win32.StartPage[/td][/tr][tr][td]K7AntiVirus[/td][td]7.10.528[/td][td]2008.11.19[/td][td]-[/td][/tr][tr][td]Kaspersky[/td][td]7.0.0.125[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]McAfee[/td][td]5439[/td][td]2008.11.19[/td][td]-[/td][/tr][tr][td]Microsoft[/td][td]1.4104[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]NOD32[/td][td]3627[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]Norman[/td][td]5.80.02[/td][td]2008.11.19[/td][td]-[/td][/tr][tr][td]Panda[/td][td]9.0.0.4[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]PCTools[/td][td]4.4.2.0[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]Prevx1[/td][td]V2[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]Rising[/td][td]21.04.32.00[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]SecureWeb-Gateway[/td][td]6.7.6[/td][td]2008.11.20[/td][td]Win32.Malware.gen#UPX (suspicious)[/td][/tr][tr][td]Sophos[/td][td]4.35.0[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]Sunbelt[/td][td]3.1.1801.2[/td][td]2008.11.14[/td][td]-[/td][/tr][tr][td]Symantec[/td][td]10[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]TheHacker[/td][td]6.3.1.1.159[/td][td]2008.11.19[/td][td]-[/td][/tr][tr][td]TrendMicro[/td][td]8.700.0.1004[/td][td]2008.11.20[/td][td]-[/td][/tr][tr][td]VBA32[/td][td]3.12.8.9[/td][td]2008.11.19[/td][td]-[/td][/tr][tr][td]ViRobot[/td][td]2008.11.18.1474[/td][td]2008.11.18[/td][td]-[/td][/tr][tr][td]VirusBuster[/td][td]4.5.11.0[/td][td]2008.11.19[/td][td]-[/td][/tr][/table][table=550][tr]附加信息[/tr][tr][td]File size: 1012376 bytes[/td][/tr][tr][td]MD5...: 4b1f6c24eed82f9ba5974ed52b3dabfe[/td][/tr][tr][td]SHA1..: 304832d5fe6fbadb679987935b8425b64a8222a6[/td][/tr][tr][td]SHA256: e378f4358f7e50c9c793a9dddd90f3cb6b735def183b8cdc2cb9faa5838968d1[/td][/tr][tr][td]SHA512: 58c4d19b64ef9599683d0e6f71a1808a640ce68da1dbbb40f8337b44602d7b6c
e1315c37934b083941771dfa8fa1fbcc0bb33a7cbd10df87ac465b8efd2230e4[/td][/tr][tr][td]PEiD..: KGB SFX[/td][/tr][tr][td]TrID..: File type identification
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)[/td][/tr][tr][td]PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4a8ee0
timedatestamp.....: 0x48997e10 (Wed Aug 06 10:33:52 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x69000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6a000 0x40000 0x3f200 7.93 9a4a2e32cdc049c7a6c285949b49486c
.rsrc 0xaa000 0x2000 0x1600 4.31 8643f8cab3c8a1218c2e8bd5c77a4b7a

( 16 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: AddAce
> COMCTL32.dll: ImageList_Remove
> COMDLG32.dll: GetSaveFileNameW
> GDI32.dll: BitBlt
> MPR.dll: WNetGetConnectionW
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> PSAPI.DLL: EnumProcesses
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> USERENV.dll: LoadUserProfileW
> VERSION.dll: VerQueryValueW
> WININET.dll: FtpOpenFileW
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports )
[/td][/tr][tr][td]packers (Kaspersky): PE_Patch.UPX, UPX[/td][/tr][tr][td]packers (F-Prot): UPX[/td][/tr][/table]


这个 mcvcea.exe 扫描结果不会看，这个算有毒吗？

回复 #6 daishaodong 的帖子

安全模式下扫描不到这个msconfig.exe文件，手动查找也找不到。

c:\windows\system32\msconfig.exe

还是存在，怎么抑制不了再生的??

从在线扫描的结果看，那个文件应该没问题，
助手的自定义删除方法，见我的签名档。。

我也这个毛病 我已经成功解决

我的方法是
下载费尔木马强力清除助手,点选“抑制文件再生”删除
C:\WINDOWS\system32\mswxct.dll和C:\WINDOWS\system32\msconfig.EXE
从网上下载一个msconfig放在C:\WINDOWS下
进入注册表
RUN下删除启动项msconfig 新建一个 更改为C:\WINDOWS\msconfig.EXE
再开机 就不会报警了
你试试 我就这么弄的

费尔木马强力清除助手[url]http://bbs.ikaka.com/attachment.aspx?attachmentid=446804[/url]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 注册表地址

[url]http://www.arswp.com/bbs/thread-40043-1-1.html[/url]
这是我的问题帖子