可疑文件大家看看哪个是病毒

显示全部楼层 · 发表于 2011-6-24 22:31:18

本帖最后由 dalianjhc1986 于 2011-6-24 22:32 编辑

里面4个文件

显示全部楼层 · 发表于 2011-6-24 22:37:10

kis2012报安全
毒霸转人工鉴定

显示全部楼层 · 发表于 2011-6-24 22:40:46

本帖最后由 z2009 于 2011-6-24 22:41 编辑

运行后，kis 2012报启发 googleweb.exe 检测到威胁: HEUR:Backdoor.Win32.Generic 2011/6/24 22:36:11

显示全部楼层 · 发表于 2011-6-24 22:41:51

z2009 发表于 2011-6-24 22:40
运行后，kis 2012报启发 googleweb.exe 检测到威胁: HEUR:Backdoor.Win32.Generic 2011/6/24 22:36:11
...

谢了

显示全部楼层 · 发表于 2011-6-24 22:59:02

显示全部楼层 · 发表于 2011-6-24 23:00:15

2011-6-24 22:47:20 c:\documents and settings\administrator\桌面\getgooglebooks\getgooglebooks.exe 访问COM接口 {7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager 阻止 [应用程序组]↑[?]<智能>跑毒模式文件路径: C:\WINDOWS\system32\urlmon.dll
2011-6-24 22:47:20 c:\documents and settings\administrator\桌面\getgooglebooks\getgooglebooks.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Temp\Getgooglebooks.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式 -> [注册表组]↑[4]<全局>全局规则值: Getgooglebooks
2011-6-24 22:47:20 c:\documents and settings\administrator\桌面\getgooglebooks\getgooglebooks.exe 创建新进程 c:\documents and settings\administrator\local settings\temp\temp\getgooglebooks.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Temp\Getgooglebooks.exe"
2011-6-24 22:47:20 c:\documents and settings\administrator\桌面\getgooglebooks\getgooglebooks.exe 访问COM接口 {7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager 阻止 [应用程序组]↑[?]<智能>跑毒模式文件路径: C:\WINDOWS\system32\urlmon.dll
2011-6-24 22:47:20 c:\documents and settings\administrator\桌面\getgooglebooks\getgooglebooks.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Temp\googleweb.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式 -> [注册表组]↑[4]<全局>全局规则值: googleweb
2011-6-24 22:47:20 c:\documents and settings\administrator\桌面\getgooglebooks\getgooglebooks.exe 创建新进程 c:\documents and settings\administrator\local settings\temp\temp\googleweb.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Temp\googleweb.exe"

2011-6-24 22:51:35 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 访问COM接口 {00BB2765-6A77-11D0-A535-00C04FD7D062} Microsoft 多个自动完成列表容器阻止 [应用程序组]↑[?]<智能>跑毒模式文件路径: %SystemRoot%\system32\browseui.dll
2011-6-24 22:51:35 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 创建文件夹 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[2]<常规>临时目录
2011-6-24 22:51:35 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\__tmp_rar_sfx_access_check_6832656 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[2]<常规>临时目录
2011-6-24 22:51:35 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 删除文件 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\__tmp_rar_sfx_access_check_6832656 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[2]<常规>临时目录
2011-6-24 22:51:35 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\Google.dat 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[2]<常规>临时目录
2011-6-24 22:51:35 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\Enlink.dat 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[2]<常规>临时目录
2011-6-24 22:51:35 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\Getgooglebooks.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[5]<秒杀>临时目录
2011-6-24 22:51:35 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\Getgooglebooks.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[5]<秒杀>临时目录
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 访问COM接口 {67EA19A0-CCEF-11D0-8024-00C04FD75D13} CDF Extension Copy Hook 阻止 [应用程序组]↑[?]<智能>跑毒模式文件路径: %SystemRoot%\system32\shdocvw.dll
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 访问COM接口 {ECF03A33-103D-11D2-854D-006008059367} 阻止 [应用程序组]↑[?]<智能>跑毒模式文件路径: %SystemRoot%\system32\mydocs.dll
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 访问COM接口 {40DD6E20-7C17-11CE-A804-00AA003CA9F6} Shell extensions for sharing 阻止 [应用程序组]↑[?]<智能>跑毒模式文件路径: ntshrui.dll
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 访问COM接口 {8932AEFE-9DB6-4F43-AFB2-5682F55E773A} VPCHostCopyHook 阻止 [应用程序组]↑[?]<智能>跑毒模式文件路径: D:\Program Files\Microsoft Virtual PC\VPCShExH.DLL
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 删除文件 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\Enlink.dat 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[2]<常规>临时目录
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 向其他进程发送消息 c:\windows\explorer.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式消息: 0x0419
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 向其他进程发送消息 c:\windows\explorer.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式消息: 0x0419
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 删除文件 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\Google.dat 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[2]<常规>临时目录
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 向其他进程发送消息 c:\windows\explorer.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式消息: 0x0419
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 向其他进程发送消息 c:\windows\explorer.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式消息: 0x0419
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 删除文件夹 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[2]<常规>临时目录
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 向其他进程发送消息 c:\windows\explorer.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式消息: 0x0419
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 向其他进程发送消息 c:\windows\explorer.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式消息: 0x0419
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 向其他进程发送消息 c:\windows\explorer.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式消息: 0x0419
2011-6-24 22:51:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\getgooglebooks.exe 向其他进程发送消息 c:\windows\explorer.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式消息: 0x0419

2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 创建文件夹 C:\Documents and Settings\Administrator\Local Settings\Temp\6900625 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[2]<常规>临时目录
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\6900625\googleweb.exe 阻止 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[5]<秒杀>临时目录
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 读文件 \Device\NamedPipe\wkssvc 阻止 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[4]<监控>命名管道
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 读文件 \Device\NamedPipe\lsarpc 阻止 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[4]<监控>命名管道
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 读文件 \Device\NamedPipe\lsarpc 阻止 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[4]<监控>命名管道
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 读文件 \Device\NamedPipe\lsarpc 阻止 [应用程序组]↑[?]<智能>跑毒模式 -> [文件组]↑[4]<监控>命名管道
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\BaseClass 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [注册表组]↑[1]<通用>通用放行值: Drive
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\BaseClass 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [注册表组]↑[1]<通用>通用放行值: Drive
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\BaseClass 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [注册表组]↑[1]<通用>通用放行值: Drive
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\BaseClass 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [注册表组]↑[1]<通用>通用放行值: Drive
2011-6-24 22:52:43 c:\documents and settings\administrator\桌面\getgooglebooks\temp\googleweb.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\BaseClass 允许 [应用程序组]↑[?]<智能>跑毒模式 -> [注册表组]↑[1]<通用>通用放行值: Drive

Getgooglebooks.exe和googleweb.exe都不是好东西！组合型木马可疑。

显示全部楼层 · 发表于 2011-6-24 23:14:45

本帖最后由 hx1997 于 2011-6-24 23:17 编辑

只有Getgooglebooks.exe可能是病毒吧，其他三个非PE文件
Getgooglebooks.exe已被人提交

Collecting data from file: Enlink.dat
Warning: file seems to be plain text/ASCII

Collecting data from file: Google.dat
Warning: file seems to be plain text/ASCII

Collecting data from file: Getgooglebooks.jpg
50.0% (.JPG) JFIF JPEG Bitmap (4003/3)
37.4% (.JPG) JPEG Bitmap (3000/1)
12.4% (.MP3) MP3 audio (1000/1)

显示全部楼层 · 发表于 2011-6-24 23:32:26

红伞过

显示全部楼层 · 发表于 2011-6-24 23:36:30

本帖最后由 humanlwj52 于 2011-6-24 23:39 编辑

金山 360 报可疑

显示全部楼层 · 发表于 2011-6-24 23:42:23

本帖最后由 humanlwj52 于 2011-6-24 23:44 编辑

沙箱中运行。

[可疑文件] 可疑文件大家看看哪个是病毒

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[可疑文件] 可疑文件 大家看看哪个是病毒

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[可疑文件] 可疑文件大家看看哪个是病毒