可疑的软件

Oo右手oO

请高手帮忙看看这个软件有没有毒行么？

sbbdms

卡巴启发报

已隔离：病毒 Heur.Invader (修改)        文件　: D:\软件\其它\v\k\new\1\卡水软件.rar/卡水软件.exe

TO KL

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.8.29.0	2008.08.28	-
AntiVir	7.8.1.23	2008.08.28	TR/Hijack.Explor.5095
Authentium	5.1.0.4	2008.08.29	W32/Heuristic-KPP!Eldorado
Avast	4.8.1195.0	2008.08.28	Win32:Trojan-gen {Other}
AVG	8.0.0.161	2008.08.29	Generic11.HSJ
BitDefender	7.2	2008.08.29	BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal	9.50	2008.08.26	-
ClamAV	0.93.1	2008.08.29	-
DrWeb	4.44.0.09170	2008.08.28	-
eSafe	7.0.17.0	2008.08.28	-
eTrust-Vet	31.6.6054	2008.08.28	-
Ewido	4.0	2008.08.28	-
F-Prot	4.4.4.56	2008.08.28	W32/Heuristic-KPP!Eldorado
Fortinet	3.14.0.0	2008.08.29	-
GData	19	2008.08.29	Win32:Trojan-gen
Ikarus	T3.1.1.34.0	2008.08.29	-
K7AntiVirus	7.10.428	2008.08.25	-
Kaspersky	7.0.0.125	2008.08.29	Heur.Invader
McAfee	5372	2008.08.28	-
Microsoft	1.3807	2008.08.25	-
NOD32v2	3397	2008.08.28	probably unknown NewHeur_PE virus
Norman	5.80.02	2008.08.28	-
Panda	9.0.0.4	2008.08.29	-
PCTools	4.4.2.0	2008.08.28	-
Prevx1	V2	2008.08.29	-
Rising	20.59.31.00	2008.08.28	-
Sophos	4.33.0	2008.08.29	Sus/Behav-1014
Sunbelt	3.1.1582.1	2008.08.26	-
Symantec	10	2008.08.29	-
TheHacker	6.3.0.6.064	2008.08.27	-
TrendMicro	8.700.0.1004	2008.08.28	-
VBA32	3.12.8.4	2008.08.29	-
ViRobot	2008.8.28.1353	2008.08.28	-
VirusBuster	4.5.11.0	2008.08.28	-
Webwasher-Gateway	6.6.2	2008.08.28	Trojan.Hijack.Explor.5095

[ 本帖最后由 sbbdms 于 2008-8-29 09:07 编辑 ]

Oo右手oO

确定是病毒吗？因为来源比较可靠

sbbdms

还不能确定是否为病毒，所以现在先等卡巴的回复。
等后面的高高手来分析具体行为了，这样子更能确定些

Oo右手oO

已经有朋友在使用，所以怀疑是误报。。。

sbbdms

虽然卡巴报了，但是由于是启发报，所以估计上报也改不了……除非取消启发扫描，应该是吧……

Oo右手oO

我现在用的是微点，不敢运行这个程序。。。

Oo右手oO

我现在用的是微点，不敢运行这个程序。。。

DefenseWall HIPS log file

08.29.2008  09:48:52，模块 C:\WINDOWS\system32\BlueEagle.exe， 企图删除文件 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe (文件 )

08.29.2008  09:48:50，模块 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe， 企图 设置值 Personal 在注册表键 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ (注册表)

08.29.2008  09:48:50，模块 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe， 企图 设置值 Common Documents 在注册表键 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ (注册表)

08.29.2008  09:48:50，模块 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe， 企图 设置值 Desktop 在注册表键 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ (注册表)

08.29.2008  09:48:50，模块 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe， 企图 设置值 Common Desktop 在注册表键 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ (注册表)

08.29.2008  09:48:50，模块 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe， 企图 设置值 Cache 在注册表键 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ (注册表)

08.29.2008  09:48:50，模块 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe， 企图 设置值 Cookies 在注册表键 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ (注册表)

08.29.2008  09:48:51，模块 C:\WINDOWS\system32\BlueEagle.exe， 企图打开进程 C:\WINDOWS\explorer.exe (进程)

08.29.2008  09:48:50，模块 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe， 企图 设置值 Thundernew 在注册表键 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ (注册表)



DefenseWall HIPS rollback report file

文件: C:\WINDOWS\system32\senddll.dll 创建由 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe 在 08.29.2008  09:48:50 时
文件: C:\WINDOWS\system32\pphook.dll 创建由 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe 在 08.29.2008  09:48:50 时
文件: C:\WINDOWS\system32\BlueEagle.exe 创建由 C:\Documents and Settings\htyhzd\桌面\卡水软件.exe 在 08.29.2008  09:48:51 时

IllusionWing

卡巴也有白名单