070911版之后的WINPE以及几个YY版带的7z.exe有木马，KV2008检测

BjCat

今天制作个WinPE+VistaPE+Linux的LiveUSB时候发现的。
将op.wim挂载后，KV2008报告
c:\wim\wim0\7z\7z.exe         trojan/psw.gamepass.afks   2008-1-8 下午 12:56:49  已清除        

当时怀疑是误报，后来想想不对，7z是免费开源软件，不会有什么加密壳导致误报的。
于是就找了最近出的几个版本测试。经下载测试：
老九WinPE老毛桃修改0911撒手不管版、YYQ572国庆最终版、武松嘿咻元旦版、nm888优化增强版带的7z.exe都报有病毒。

后再翻出以前刻录的老光盘上的老九WinPE老毛桃修改扬州三月版带的7z.exe，KV2008并未报毒。

然后再到官方下载最新的7z（457官方中文版），安装后kv2008也未报毒。

7z官方版在 http://www.7-zip.org/zh-cn/download.html 下载。

大家也多测试看看。

[ 本帖最后由 BjCat 于 2008-1-9 12:03 AM 编辑 ]

BjCat

扬州三月纪念版带的那个7z.exe就没报病毒。何况，这个7z.exe是DOS程序没什么要修改的吧？!又没加密，也不需要汉化。

BjCat

也许吧。我现在用官方的7z.exe替换了就没事情。不然我的WinPE设置是进入shell就启动KV2008移动版的实时监控，那样用原来的7z.exe根本无法安装一些程序和驱动，除非关掉实时监控。

hekeke

同样是4.43.7.0版本，但大小不一样，md5码也不一样，911里的7Z为186K  下载的为119K

BjCat

建议手头上杀毒软件多的朋友，找几个杀毒软件来扫描看看是否是误报。
PS:我用的是KV2008移动版，病毒库2008年1月3日

nm888

　　以前用小红伞(长枫技术论坛单文件绿色版)扫描出现提示:小红伞报"Is the Trojan horse TR/Crypt.NSPM.Gen"，用江民杀毒KV2008（长枫技术论坛单文件绿色版）扫描，提示和楼主说的一样，但用NOD32和卡巴6扫描无异常。一直以来都是认为杀软误报，也没在意。目前，这个7z.exe文件还不知是不是感染了病毒。为安全起见，已下载楼主所述版本的PE，最好是把这个文件换掉。

lq1088

扬州三月纪念版带的那个7z.exe就没报病毒.

helloman

多谢提醒，我还是替换一下

nm888

原帖由 BjCat 于 2008-1-8 05:56 PM 发表
也许吧。我现在用官方的7z.exe替换了就没事情。不然我的WinPE设置是进入shell就启动KV2008移动版的实时监控，那样用原来的7z.exe根本无法安装一些程序和驱动，除非关掉实时监控。

楼主是怎么替换成功的，替换后能正常加载声卡、显卡、网卡吗？我在7z官方网站下载了最新版本的7z（457官方中文版），安装在C盘后提取了7z.exe（命令行），替换本人的YY版（2008.01.03）里面的7Z.EXE文件，打包完毕后，将新的OP.WIM替换旧的OP.WIM，PE启动后加载声卡、显卡、网卡，出现的错误如下图：

所以我想问楼主怎样成功替换的，是哪个版本的7z?
重新把原来的7Z.EXE换上，加载声卡、显卡、网卡正常！
看来是杀毒软件误报的，可能原来的7Z.EXE是经过软件加壳的，故杀软误报，具体还请老毛审定。

[ 本帖最后由 nm888 于 2008-1-8 10:41 PM 编辑 ]

BjCat

安装457官方中文版后直接在其安装目录复制一份7z.exe为"复制 7z.exe"。然后uninstall掉官方中文版，再把“复制 7z.exe”改名为7z.exe放入op.wim的7z文件夹中。你那个错误提示就是7z.exe不存在导致的。很奇怪的一个现象，我电脑上，如果不uninstall掉官方中文版，直接复制7z.exe出来的话，复制一次自动被删除一次，怪怪的。你提取出7z.exe后，最好刷新一次，确认文件存在了，再打包成OP.WIM。我前面就是没注意看直接打包了，然后就出现你同样的错误提示。我替换后安装网卡，声卡，显卡都正常，用的也是你那个OP.WIM和WinPE.IS_，我只是对你的op.wim做了些修正和增加些软件进去。

[ 本帖最后由 BjCat 于 2008-1-8 10:45 PM 编辑 ]

nm888

我再试试看，先谢了。

123

连我写的GGGHOST都报毒呢,难道杀软居然能把未来才有的东西加入病毒库?

BjCat

不客气。PS，你那个网卡cmd文件，末尾没有启动那个IP地址配置程序，那样在那些没有DHCP服务的网络环境下，对新手来说并不会意识到自动获得的IP不会跟内网同段。

BjCat

123 (Forestfairy) ，我这里KV2008(2008.1.8病毒库)并未报GGGHOST有病毒。你用的是哪个杀毒软件扫描出来GGGHOST有病毒的？？

123

zhaohj说报毒,看前面的帖子

nm888

原帖由 BjCat 于 2008-1-8 10:41 PM 发表
安装457官方中文版后直接在其安装目录复制一份7z.exe为"复制 7z.exe"。然后uninstall掉官方中文版，再把“复制 7z.exe”改名为7z.exe放入op.wim的7z文件夹中。你那个错误提示就是7z.exe不存在导致的。很奇怪的一 ...

　　我就是复制那个7z.exe（文件大小是147,968字节）文件替换的啊，不会错的，怪了，还是那种提示。再次换回原来的，正常！所以我最终认定,911及其YY版的7z.exe文件被杀软认定是“病毒”，是误报！看来楼主没有亲自测试！

BjCat

这个看个人怎么判断了。象SYSTEMRESTORE.EXE这个文件，KV2008就报它带的那个comm.dll是后门程序。个人认为基于SYSTEMRESTORE.EXE的特性，这个应该是误报。因为象Radmin3.2这类远程控制程序，KV都报它是后门程序。

nm888

回家再试一试，看看是否如楼主所说的。

BjCat

nm888 ，今天下午开始到现在我亲自测试了，不开实时监控情况下我用官方的正常，用原来的也正常，只是在PE开KV2008实时监控的话原来的7z就报木马病毒并且会出现跟你那样的错误提示框。我只是懒得发图而已。这2天搞的就是老九WinPE老毛桃修改0911撒手不管版、YYQ572国庆最终版、武松嘿咻元旦版、nm888优化增强版这4个版本，最后选的是你那个版本为主，然后增加了一些娱乐完美版的一些外置程序。今晚终于搞定了自己的LiveUSB，Linux跟VISTAPE都能在上面跑了。这个7z.exe的问题只是顺带发现的。反正担心的就替换吧，不换的也行就算不是误报，那也只是个木马而已，不是那种带传染能力的病毒，不联互联网的话关系不大，记得安装完驱动前不要打开kv2008移动版的实时监控就行，不然影响安装驱动程序。

PS:那个WinPE Plus V2 完美娱乐版(文件夹是wanmei的那个，不是WINPE Plus 娱乐游戏完美2.0版（8号已更新版本）那个)，外置程序中的 bc2和字符批量替换工具，kv2008报有病毒，大家注意下。

WINPE Plus 娱乐游戏完美2.0版（8号已更新版本）那个太大了，我只取了它那个值得称赞的IE来用。

[ 本帖最后由 BjCat 于 2008-1-9 12:05 AM 编辑 ]

nm888

　　今天早上两次用最新版的7z.exe文件更换了YY版中的7z.exe文件，得到的结果和11楼的相同，声、显、网卡根本无法加载。看来是杀毒软件误报了。

yjliu668

多谢提醒，我还是替换一下

hot100

用RAR多好啊,非得用7Z...我的是江民谁提供文件我检测下

[ 本帖最后由 hot100 于 2008-1-9 10:49 AM 编辑 ]

helloman

我替换了最新的7z.exe以后也出现“声、显、网卡根本无法加载”问题，看来还是误报的可能性更大！亦或是最新的7z.exe文件问题？

老九老毛桃粉丝

原帖由 v-virus 于 2008-1-9 08:50 AM 发表
可能是经过别人的手就中毒了吧
替换下就好了么

我用江民也这么报警

这句话是还疑老毛桃的人品，还是还疑以后YY者的实力呢？

老毛桃发布 9。1版本本就说过
15. 制作了一个 7-Zip 的单文件版本，可以解压缩 7z 格式并采用 LZMA 算法的压缩包。
所以是加壳引起的误报，众多高手都没发现，众多杀软都没发现，就你和kv2008发现了 。。。

helloman

谢谢楼上“老九老毛桃粉丝 ”解惑！

stwcb2007

就是说“娱乐游戏完美2.0版”没病毒是把
那就OK了
用这个就好了
楼主能不能把那个没病毒都7z.EXE发上了
我看看和我这个911的有什么不同

keygen

有毒啊


好恐怖啊


很黄很暴力啊


我还是赶快闪了

hlytg

我还发现了IE中有两个文件用小红伞扫描也会误报病毒，img*.dll 和png*.dll

he222

我用了什么MYPE第三版,解压过程中就死机.还是用回rboot版