从SysWOW64里抓出来一个未知程序

as188672207

gole.exe
文件说明：标准MFC程序
类型：应用程序
文件版本：1.1.65.813
产品名称：Microsoft
产品版本：1.1.65.813
MD5：cb57485cb79ffb8d1f7f6f4f5f2d80a0

发现原因：
和室友打LOL的时候   帧数忽高忽低  我就以为是笔记本温度高了  
直到团灭的时候我打开任务管理器 发现有3个gole.exe在任务管理器里出现    一个gole.exe占百分之25的CPU
共计百分之75  而另25被LOL占去了，  启动gole.exe的用户是SYSTEM ，可以手动结束掉  
我把三个gole.exe结束掉了  然而就在刚刚要睡觉的时候 我又打开任务管理器 发现gole.exe又复活了
于是就传上来给大家看看
http://fireeye.ijinshan.com/anal ... 0f9&type=1#full



joflum.exe
文件说明：rtyggfh
类型：应用程序
文件版本：1.0.0.1
产品名称：fh
产品版本：jfgjf
版权：gdfggtyhj
MD5：4b49a61f9e5a209a8881254727e298f7
发现gole.exe的同时  发现了一个陌生的进程
运行的账户也是SYSTEM 没有资源占用 追踪同样在SysWOW64里
我胆子也是大 没有杀软就直接去双击了（反正任务管理器里已经有一个了0.0）
出现了一个这样的界面

然而这个界面好熟悉，大约22:00左右一把LOL结束之后出现了这个界面，我以为是QT语音的窗口
就随手给关掉了 0.0  不知道有什么危险动作......
http://fireeye.ijinshan.com/anal ... 66ab&type=1#key

样本附在后面了：
joflum.exe
http://pan.baidu.com/s/1slckdVf

gole.exe
http://pan.baidu.com/s/1pKFn407






密码：infected

大约22:30左右  笔记本摄像头的灯亮了很久   我用手纸遮上了摄像头  不知道是不是这两个程序打开了我的摄像头

不说了  先去下个杀软再说0.0


唉唉  没想到电脑变成毒窝了

mmppp9898

360小卫士直接埋了它俩了！
话说你没装杀软？裸奔呢？

as188672207

mmppp9898 发表于 2016-7-15 02:19
占个位先！一会测试看看！
话说你没装杀软？裸奔呢？

mmppp9898

as188672207 发表于 2016-7-15 02:26

又见卡饭综合征患者……搞一个就好了！装太多拖慢系统，而且互相影响！没太大必要！良好上网习惯比装一百个杀软都更好！当然我不建议只靠习惯却不装杀软裸奔！

蓝天二号

卡巴斯基

jasonliul

AdWare.Win32/Bailoat.A!Rtar.

bleeping社区发现测试的样本.
http://www.bleepingcomputer.com/ ... a-new-window/page-2

小白鼠确认 9-lab Removal Tool 可以搞定
下载在
http://9-lab.com/download/

一般杀软无法彻底清除
Ive tried alot of free antivirus, and malware viruses, all the free ones since I can't buy any virus removal software, but they don't find the virus.
--AFei

看来这白鼠也是中国人.

心醉咖啡

毒霸杀第一个

pal家族

mmppp9898 发表于 2016-7-15 02:28
又见卡饭综合征患者……搞一个就好了！装太多拖慢系统，而且互相影响！没太大必要！良好上网习惯比 ...

咦？楼主安装了什么杀软？我眼里不是很好。

pal家族

gole是后门。。。所以，你被看光拉

欧阳宣

嗯，杀软无用

管家国际版都能检测