今天系統突然跳出 MS 更新有問題的訊息，點下之後就下載了這個檔案，但是，觀察這檔案大小為 750K，嘗試搜尋，只有一個歐洲語文的網頁提到這檔案。請問是否 可以幫忙確認一下這程式 是不是有問題。因為下載的方式實在很奇怪，謝謝！！

贊助商連結

看起來只是一個試用版軟體。

File ID Filename Size (Byte) Result
3785088 SaliarARScannerAF05.rar 688.96 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID Filename Size (Byte) Result
3785089 SaliarARScannerAF05.exe 705.96 KB CLEAN
3785485 SaliarAR.exe 4.6 MB MALWARE

Please find a detailed report concerning each individual sample below:

Filename Result SaliarARScannerAF05.exe CLEAN

The file 'SaliarARScannerAF05.exe' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.
Filename Result SaliarAR.exe MALWARE

The file 'SaliarAR.exe' has been determined to be 'MALWARE'. Our analysts named the threat SPR/Fake.SaliarAR. The term "SPR/" ("Security or Privacy Risk") denotes a program that might possibly be able to affect the security of your system, might trigger activities you might not want or might violate your privacy.Detection will be added to our virus definition file (VDF) with one of the next updates

感謝 琥珀 兄 和 juijui 的回答，

無法確認是那一隻程式所產生，當如下圖畫面出現時，explorer.exe 會出現 100% cpu 資源的使用狀態，系統停頓然後出現畫面如下圖

http://www.pczone.com.tw/attachment.php?attachmentid=14984&stc=1&d=1204911503

這圖形很類似Windows 更新的圖案，第一次發生時正在使用電腦。於是點圖中的x，關閉視窗（一般我都是等有空時才處理 windows 更新動作），但是不正常狀況發生，他直接開啟一個 IE 視窗，然後下載這個檔案 SaliarARScannerAF05.exe
會引起我的懷疑的，在於他並非符合 WINDOWS 更新的操作習慣，另外我不記得有安裝過這隻程式，或是其他類似的檔案安裝。
於是才在這裡提出詢問。

之後，我的系統就不定時出現 上面的訊息，以及以下兩 上面的訊息，以及以下兩個訊息


http://www.pczone.com.tw/attachment.php?attachmentid=14986&stc=1&d=1204912329

http://www.pczone.com.tw/attachment.php?attachmentid=14987&stc=1&d=1204912329

這是我目前的狀態，目前還在找尋解決的方式。

Hi Jui

thank you for your email. The file SaliarAR.exe that you sent to us for analysis was a Trojan, Troj/FakeAle-AS, further details of which can be found on our web site at

http://www.sophos.com/security/analyses/viruses-and-spyware/trojfakealeas.html


1.那個可疑檔案你沒安裝吧?
2.那個類微軟更新的提示怎會是寫英文的?

沒有安裝，但是會不斷間隔一段時間出現第一個畫面的訊息。

那個訊息看起來是微軟更新，但是我推測實際上並不是，因為點 X 並不是關閉，而是下載檔案。應該是偽裝成微軟更新。

SaliarAR.exe 小紅傘已可以查殺...

Donna大大~你要不要換個防毒軟體全面掃一下比較好!!!
懷疑你電腦中毒了 @@~

以 小紅傘掃描，發現病毒，位置如下

Begin scan in 'C:\WINDOWS\msagent\chars\guirsv.dll'
C:\WINDOWS\msagent\chars\guirsv.dll
[DETECTION] Is the Trojan horse TR/Vundo.Gen
[WARNING] The file could not be deleted!

查此程式註冊以下registry 資料


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\guirsv]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\msagent\\chars\\guirsv.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_CLASSES_ROOT\CLSID\{6B2432DA-E58D-4C9A-AE60-7C856A4E903F}\InprocServer32]
@="C:\\WINDOWS\\msagent\\chars\\guirsv.dll"
"ThreadingModel"="Both

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6B2432DA-E58D-4C9A-AE60-7C856A4E903F}\InprocServer32]
@="C:\\WINDOWS\\msagent\\chars\\guirsv.dll"
"ThreadingModel"="Both"

並且會不斷檢測此三個資料是否存在，如果不存在，會自動恢復。

一段時間會出現 explorer 使用 99% CPU 資源狀態，導致系統回應緩慢，
之後，就會顯示如先前所傳送的第一張圖片中圖形，點選（論點選圖片那個位置）之後連結到 h ttp://www.saliar.com/download/
下載 SaliarARScannerAF05.exe

目前已經刪除此檔案，開機四小時未再出現訊息。

再次感謝 琥珀 兄 和 juijui 的回覆與協助。

恩~殺掉病毒本體就ok了~~
真高興你的電腦恢復正常了! ^_^