无忧启动论坛

标题: 070911版之后的WINPE以及几个YY版带的7z.exe有木马,KV2008检测 [打印本页]

作者: BjCat    时间: 2008-1-8 17:33
标题: 070911版之后的WINPE以及几个YY版带的7z.exe有木马,KV2008检测
今天制作个WinPE+VistaPE+Linux的LiveUSB时候发现的。
将op.wim挂载后,KV2008报告
c:\wim\wim0\7z\7z.exe         trojan/psw.gamepass.afks   2008-1-8 下午 12:56:49  已清除        

当时怀疑是误报,后来想想不对,7z是免费开源软件,不会有什么加密壳导致误报的。
于是就找了最近出的几个版本测试。经下载测试:
老九WinPE老毛桃修改0911撒手不管版、YYQ572国庆最终版、武松嘿咻元旦版、nm888优化增强版带的7z.exe都报有病毒。

后再翻出以前刻录的老光盘上的老九WinPE老毛桃修改扬州三月版带的7z.exe,KV2008并未报毒。

然后再到官方下载最新的7z(457官方中文版),安装后kv2008也未报毒。

7z官方版在 http://www.7-zip.org/zh-cn/download.html 下载。

大家也多测试看看。

[ 本帖最后由 BjCat 于 2008-1-9 12:03 AM 编辑 ]
作者: BjCat    时间: 2008-1-8 17:40
扬州三月纪念版带的那个7z.exe就没报病毒。何况,这个7z.exe是DOS程序没什么要修改的吧?!又没加密,也不需要汉化。
作者: BjCat    时间: 2008-1-8 17:56
也许吧。我现在用官方的7z.exe替换了就没事情。不然我的WinPE设置是进入shell就启动KV2008移动版的实时监控,那样用原来的7z.exe根本无法安装一些程序和驱动,除非关掉实时监控。
作者: hekeke    时间: 2008-1-8 18:13
同样是4.43.7.0版本,但大小不一样,md5码也不一样,911里的7Z为186K  下载的为119K
作者: BjCat    时间: 2008-1-8 18:16
建议手头上杀毒软件多的朋友,找几个杀毒软件来扫描看看是否是误报。
PS:我用的是KV2008移动版,病毒库2008年1月3日
作者: nm888    时间: 2008-1-8 18:55
  以前用小红伞(长枫技术论坛单文件绿色版)扫描出现提示:小红伞报"Is the Trojan horse TR/Crypt.NSPM.Gen",用江民杀毒KV2008(长枫技术论坛单文件绿色版)扫描,提示和楼主说的一样,但用NOD32和卡巴6扫描无异常。一直以来都是认为杀软误报,也没在意。目前,这个7z.exe文件还不知是不是感染了病毒。为安全起见,已下载楼主所述版本的PE,最好是把这个文件换掉。
作者: lq1088    时间: 2008-1-8 20:13
扬州三月纪念版带的那个7z.exe就没报病毒.
作者: helloman    时间: 2008-1-8 20:45
多谢提醒,我还是替换一下
作者: nm888    时间: 2008-1-8 22:35
原帖由 BjCat 于 2008-1-8 05:56 PM 发表
也许吧。我现在用官方的7z.exe替换了就没事情。不然我的WinPE设置是进入shell就启动KV2008移动版的实时监控,那样用原来的7z.exe根本无法安装一些程序和驱动,除非关掉实时监控。


楼主是怎么替换成功的,替换后能正常加载声卡、显卡、网卡吗?我在7z官方网站下载了最新版本的7z(457官方中文版),安装在C盘后提取了7z.exe(命令行),替换本人的YY版(2008.01.03)里面的7Z.EXE文件,打包完毕后,将新的OP.WIM替换旧的OP.WIM,PE启动后加载声卡、显卡、网卡,出现的错误如下图:

所以我想问楼主怎样成功替换的,是哪个版本的7z?
重新把原来的7Z.EXE换上,加载声卡、显卡、网卡正常!
看来是杀毒软件误报的,可能原来的7Z.EXE是经过软件加壳的,故杀软误报,具体还请老毛审定。

[ 本帖最后由 nm888 于 2008-1-8 10:41 PM 编辑 ]

Snap1.gif (5.92 KB, 下载次数: 41)

Snap1.gif

Snap2.gif (7.29 KB, 下载次数: 42)

Snap2.gif

Snap3.gif (4.37 KB, 下载次数: 42)

Snap3.gif

作者: BjCat    时间: 2008-1-8 22:41
安装457官方中文版后直接在其安装目录复制一份7z.exe为"复制 7z.exe"。然后uninstall掉官方中文版,再把“复制 7z.exe”改名为7z.exe放入op.wim的7z文件夹中。你那个错误提示就是7z.exe不存在导致的。很奇怪的一个现象,我电脑上,如果不uninstall掉官方中文版,直接复制7z.exe出来的话,复制一次自动被删除一次,怪怪的。你提取出7z.exe后,最好刷新一次,确认文件存在了,再打包成OP.WIM。我前面就是没注意看直接打包了,然后就出现你同样的错误提示。我替换后安装网卡,声卡,显卡都正常,用的也是你那个OP.WIM和WinPE.IS_,我只是对你的op.wim做了些修正和增加些软件进去。

[ 本帖最后由 BjCat 于 2008-1-8 10:45 PM 编辑 ]
作者: nm888    时间: 2008-1-8 22:42
我再试试看,先谢了。
作者: 123    时间: 2008-1-8 22:46
连我写的GGGHOST都报毒呢,难道杀软居然能把未来才有的东西加入病毒库?
作者: BjCat    时间: 2008-1-8 22:47
不客气。PS,你那个网卡cmd文件,末尾没有启动那个IP地址配置程序,那样在那些没有DHCP服务的网络环境下,对新手来说并不会意识到自动获得的IP不会跟内网同段。
作者: BjCat    时间: 2008-1-8 22:50
123 (Forestfairy) ,我这里KV2008(2008.1.8病毒库)并未报GGGHOST有病毒。你用的是哪个杀毒软件扫描出来GGGHOST有病毒的??
作者: 123    时间: 2008-1-8 22:55
zhaohj说报毒,看前面的帖子
作者: nm888    时间: 2008-1-8 23:11
原帖由 BjCat 于 2008-1-8 10:41 PM 发表
安装457官方中文版后直接在其安装目录复制一份7z.exe为"复制 7z.exe"。然后uninstall掉官方中文版,再把“复制 7z.exe”改名为7z.exe放入op.wim的7z文件夹中。你那个错误提示就是7z.exe不存在导致的。很奇怪的一 ...


  我就是复制那个7z.exe(文件大小是147,968字节)文件替换的啊,不会错的,怪了,还是那种提示。再次换回原来的,正常!所以我最终认定,911及其YY版的7z.exe文件被杀软认定是“病毒”,是误报!看来楼主没有亲自测试!
作者: BjCat    时间: 2008-1-8 23:14
这个看个人怎么判断了。象SYSTEMRESTORE.EXE这个文件,KV2008就报它带的那个comm.dll是后门程序。个人认为基于SYSTEMRESTORE.EXE的特性,这个应该是误报。因为象Radmin3.2这类远程控制程序,KV都报它是后门程序。
作者: nm888    时间: 2008-1-8 23:16
回家再试一试,看看是否如楼主所说的。
作者: BjCat    时间: 2008-1-8 23:24
nm888 ,今天下午开始到现在我亲自测试了,不开实时监控情况下我用官方的正常,用原来的也正常,只是在PE开KV2008实时监控的话原来的7z就报木马病毒并且会出现跟你那样的错误提示框。我只是懒得发图而已。这2天搞的就是老九WinPE老毛桃修改0911撒手不管版、YYQ572国庆最终版、武松嘿咻元旦版、nm888优化增强版这4个版本,最后选的是你那个版本为主,然后增加了一些娱乐完美版的一些外置程序。今晚终于搞定了自己的LiveUSB,Linux跟VISTAPE都能在上面跑了。这个7z.exe的问题只是顺带发现的。反正担心的就替换吧,不换的也行就算不是误报,那也只是个木马而已,不是那种带传染能力的病毒,不联互联网的话关系不大,记得安装完驱动前不要打开kv2008移动版的实时监控就行,不然影响安装驱动程序。

PS:那个WinPE Plus V2 完美娱乐版(文件夹是wanmei的那个,不是WINPE Plus 娱乐游戏完美2.0版(8号已更新版本)那个),外置程序中的 bc2和字符批量替换工具,kv2008报有病毒,大家注意下。

WINPE Plus 娱乐游戏完美2.0版(8号已更新版本)那个太大了,我只取了它那个值得称赞的IE来用。

[ 本帖最后由 BjCat 于 2008-1-9 12:05 AM 编辑 ]
作者: nm888    时间: 2008-1-9 08:34
  今天早上两次用最新版的7z.exe文件更换了YY版中的7z.exe文件,得到的结果和11楼的相同,声、显、网卡根本无法加载。看来是杀毒软件误报了。
作者: v-virus    时间: 2008-1-9 08:50
提示: 作者被禁止或删除 内容自动屏蔽
作者: yjliu668    时间: 2008-1-9 09:23
多谢提醒,我还是替换一下
作者: hot100    时间: 2008-1-9 10:48
用RAR多好啊,非得用7Z...我的是江民谁提供文件我检测下

[ 本帖最后由 hot100 于 2008-1-9 10:49 AM 编辑 ]
作者: helloman    时间: 2008-1-9 20:37
我替换了最新的7z.exe以后也出现“声、显、网卡根本无法加载”问题,看来还是误报的可能性更大!亦或是最新的7z.exe文件问题?
作者: 老九老毛桃粉丝    时间: 2008-1-9 20:49
原帖由 v-virus 于 2008-1-9 08:50 AM 发表
可能是经过别人的手就中毒了吧
替换下就好了么

我用江民也这么报警


这句话是还疑老毛桃的人品,还是还疑以后YY者的实力呢?

老毛桃发布 9。1版本本就说过
15. 制作了一个 7-Zip 的单文件版本,可以解压缩 7z 格式并采用 LZMA 算法的压缩包。
所以是加壳引起的误报,众多高手都没发现,众多杀软都没发现,就你和kv2008发现了 。。。
作者: helloman    时间: 2008-1-9 21:54
谢谢楼上“老九老毛桃粉丝 ”解惑!
作者: stwcb2007    时间: 2008-1-9 23:10
就是说“娱乐游戏完美2.0版”没病毒是把
那就OK了
用这个就好了
楼主能不能把那个没病毒都7z.EXE发上了
我看看和我这个911的有什么不同
作者: keygen    时间: 2008-1-9 23:13
有毒啊


好恐怖啊


很黄很暴力啊


我还是赶快闪了
作者: hlytg    时间: 2008-1-10 09:16
我还发现了IE中有两个文件用小红伞扫描也会误报病毒,img*.dll 和png*.dll
作者: he222    时间: 2008-1-10 09:50
我用了什么MYPE第三版,解压过程中就死机.还是用回rboot版
作者: tt911    时间: 2008-1-11 11:43
标题: 木马到不知道
但在XP中一运行*.wim中的7Z立刻重启,无任何提示,只能挂SSM以防误双击!!!!
作者: hellokorea    时间: 2008-1-11 12:16
老毛怎么都没动静呢,给个“官方”的解释,呵呵




欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3