【木馬】KIS判定cfdemo.scr感染: Trojan-Spy.Win32.Delf.jq ??

**kenting** · 2007-05-20, 07:33 PM

昨天我用KIS 6.0.2.621掃描Toshiba的NB
結果掃出:
c:\windows\cfdemo.scr 44 KB
已感染: 特洛伊木馬程式 Trojan-Spy.Win32.Delf.jq

請問是誤判還是真的?
這似乎是Toshiba NB的內建程式

**esjustin** · 2007-05-20, 07:50 PM

作者：kenting

昨天我用KIS 6.0.2.621掃描Toshiba的NB
結果掃出:
c:\windows\cfdemo.scr 44 KB
已感染: 特洛伊木馬程式 Trojan-Spy.Win32.Delf.jq

請問是誤判還是真的?
這似乎是Toshiba NB的內建程式

Toshiba NB內建scr檔!?不太可能吧,scr檔是螢幕保護程式的檔名.

但是!scr這兩年來已經成為病毒/木馬的常用檔名,可以將該檔案傳上來給在下分析嗎!?

在下認為有99%的機率是病毒.

**kenting** · 2007-05-20, 08:27 PM

之所以說是Toshiba NB內建是由於以下資料 (我把比較有關的一段放在下面，並把出處附上)
不過他的型號是Satellite J60與我的不同
至於檔案，要如何把備份的檔案複製出來??
他只有還原和刪除這2個選項...
如果真的是木馬，選還原會不會造成危險???

資料來源:
https://dynabook.com/assistpc/downlo...j6readxsp1.htm

■東芝オリジナルスクリーンセーバー

(1) バージョン情報

Ver 1.00.07

(2) 説明

東芝オリジナルのスクリーンセーバー「ConfigFree (Demo)」を、ハードディスク（c:\windows）にコピーします。

(3) モジュールのダウンロードと解凍

saj6tosxsp1.exe　(18.4MB)
モジュール(ファイル)をクリックします。
使用許諾契約の画面では、［同意する］をクリックします。モジュールをハードディスクの任意のフォルダ（ex."c:\temp"）に保存します。
保存した全てのモジュールをエクスプローラ等からダブルクリックして実行します。
解凍先が「c:\temp」と表示されるので、そのまま［OK］ボタンをクリックします。
「c:\temp\tscreen」フォルダが作成され、その中にモジュールが解凍されます。
(4) インストール手順

Windowsを起動します。
管理者権限（Administrator)のあるユーザーでログオンします。
「東芝オリジナルスクリーンセーバー」が格納されたフォルダへ移動します。
（例：［スタート］ボタン→「マイコンピュータ」→「C」ドライブ→「temp」フォルダ→「tscreen」フォルダの順に開きます。）
以下のファイルをハードディスク(c:\windows)にコピーします。
cfdemo.exe
cfdemo.scr
※ご使用の環境により、拡張子(.exe　および　.scr)は表示されません。

以上で作業は終了です。
(5) スクリーンセーバーの設定

［スタート］ボタン→［コントロールパネル(C)］の順にクリックします。
「コントロールパネル」画面が表示されましたら、［画面］アイコンをダブルクリックします。
（［画面］アイコンが表示されていない場合は、［クラシック表示に切り替える］をクリックしてください。）
「画面のプロパティ」画面が表示されましたら、「スクリーンセーバー」タブをクリックします。
”スクリーンセーバー(S)”欄の［V］ボタンをクリックし、一覧から［ConfigFree(Demo)］を選択してださい。
設定が完了しましたら、［OK］ボタンをクリックして閉じます。

以上で作業は終了です。

**esjustin** · 2007-05-21, 05:43 PM

經閣下這麼一說,那可能就不是威脅,不過為了謹慎起見,請用搜尋功能找出"cfdemo.scr"壓縮之後上傳給在下分析.

**kenting** · 2007-05-22, 10:42 AM

已將檔案壓縮上傳
附檔名(.scr)被我砍掉
多謝幫忙

**proll** · 2007-05-22, 11:25 AM

A-Squared Found nothing
AntiVir Found TR/Spy.Delf.JQ.110
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Trojan-Spy.Win32.Delf.jq
Fortinet Found Spy/Delf
Kaspersky Anti-Virus Found Trojan-Spy.Win32.Delf.jq
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing