纯净版的ghost的个别文件

显示全部楼层 · 发表于 2008-10-7 10:14:59

这个是：创新技术联盟 GhostXP3 纯净版 0915
的系统ghost盘，里面有两个文件怀疑是病毒经过了检测看看吧
想请高手看看是否是误报？因为这个关系到系统本身
检测1
http://www.virustotal.com/zh-cn/analisis/6beb348831fde374670ffdeebfc2ab98
文件 ______.rar 接收于 2008.10.07 04:02:44 (CET)
当前状态: 正在读取 ... 队列中等待中扫描中完成未发现停止

结果: 18/36 (50%)

正在读取服务器信息中...
您的文件所排队列位置: 5.
预计开始时间为 56 和 80 秒之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.

格式化文本
打印结果

您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置:
). 您可以继续等待回应 (自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.

Email:

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.10.3.2	2008.10.06	-
AntiVir	7.8.1.34	2008.10.06	TR/Agent.611542
Authentium	5.1.0.4	2008.10.07	-
Avast	4.8.1248.0	2008.10.06	Win32:Trojan-gen {Other}
AVG	8.0.0.161	2008.10.06	Generic10.AKKT
BitDefender	7.2	2008.10.07	-
CAT-QuickHeal	9.50	2008.10.06	-
ClamAV	0.93.1	2008.10.06	Trojan.PcClient-2361
DrWeb	4.44.0.09170	2008.10.06	-
eSafe	7.0.17.0	2008.10.07	Suspicious File
eTrust-Vet	31.6.6132	2008.10.06	-
Ewido	4.0	2008.10.06	-
F-Prot	4.4.4.56	2008.10.06	-
F-Secure	8.0.14332.0	2008.10.06	W32/Packed_NsPack.I
Fortinet	3.113.0.0	2008.10.07	-
GData	19	2008.10.07	Win32:Trojan-gen {Other}
Ikarus	T3.1.1.34.0	2008.10.06	Virus.Win32.Trojan
K7AntiVirus	7.10.486	2008.10.06	Backdoor.Win32.Agent.u
Kaspersky	7.0.0.125	2008.10.06	-
McAfee	5398	2008.10.04	Generic.dx
Microsoft	1.4005	2008.10.07	-
NOD32	3497	2008.10.06	-
Norman	5.80.02	2008.10.06	W32/Packed_NsPack.I
Panda	9.0.0.4	2008.10.06	-
PCTools	4.4.2.0	2008.10.06	Packed/NSPack
Prevx1	V2	2008.10.07	Malicious Software
Rising	20.65.02.00	2008.10.06	-
SecureWeb-Gateway	6.7.6	2008.10.06	Trojan.Agent.611542
Sophos	4.34.0	2008.10.07	Mal/Packer
Sunbelt	3.1.1707.1	2008.10.07	-
Symantec	10	2008.10.07	Trojan Horse
TheHacker	6.3.1.0.102	2008.10.07	W32/Behav-Heuristic-067
TrendMicro	8.700.0.1004	2008.10.06	-
VBA32	3.12.8.6	2008.10.07	-
ViRobot	2008.10.6.1408	2008.10.06	-
VirusBuster	4.5.11.0	2008.10.06	Packed/NSPack

附加信息

File size: 1213718 bytes

MD5...: cca587ccca63baf778d5103368404187

SHA1..: f5ccbb20d7b8a82982cbdcc33642efe4149c4a38

SHA256: 6df16e2b31ada35d1138d8961d9646cbf425a23d8dcd4742c779c186b1b731cb

SHA512: 40a96d021ccc1e11579c8588ef43e73ed721bfd1813b97cd06f124b8b313afc6
ff582149836102a7fce7e1bffa9692356a2deabb86a643d08a9db217d2b7bc1c

PEiD..: -

TrID..: File type identification
RAR Archive (83.3%)
REALbasic Project (16.6%)

PEInfo: -

Prevx info: http://info.prevx.com/aboutprogr ... 9A1150F8E00C48002A4

packers (Kaspersky): NSPack, NSPack

packers (F-Prot): NSPack, PE_Patch

请高手看看是否是误报？

显示全部楼层 · 发表于 2008-10-7 10:24:41

解压时avast报了

属性没有版本等，啥都没……进一步核实中……
刚才运行时出现gho浏览器界面，ms是经过处理的，是否是报壳？还不能确定，再看看
监控ms无异常，搞不懂啊，这个文件又不大，为什么要这样处理……

[ 本帖最后由 ahzsmzkf 于 2008-10-7 10:38 编辑 ]

显示全部楼层 · 发表于 2008-10-7 10:43:10

二楼的高手啊，他有两个文件的都是ghost相关的
GHOSTEXP，这个文件隐藏得比较深，是我用红伞扫出来的

显示全部楼层 · 发表于 2008-10-7 10:47:30

刚才监控时，急忙中没设置好，再试试看

显示全部楼层 · 发表于 2008-10-7 10:53:22

nod32
G:\GHOSTEXP\GHOSTEXP.EXE - 正常
G:\GHOST镜像浏览器V11\GHOST镜像浏览器V11.EXE - 正常

显示全部楼层 · 发表于 2008-10-7 11:00:46

诺顿10.0检查

江民不杀哦

[ 本帖最后由 kingmuro 于 2008-10-7 11:04 编辑 ]

显示全部楼层 · 发表于 2008-10-7 11:16:34

没发现异常，貌似是Nspack[北斗加壳]加壳的缘故，不清楚问什么要这么做，

显示全部楼层 · 发表于 2008-10-7 13:43:46

我的妈呀，9.15？番茄封了后还有系统，有马的可能性很高，不过也可能是报壳

显示全部楼层 · 发表于 2008-10-7 16:18:31

无聊的银，没事把它脱了了壳

脱了马甲你就认了

=========================

VirSCAN.org Scanned Report :
Scanned time : 2008/10/07 16:12:22 (CST)
Scanner results: 3%的杀软(1/37)报告发现病毒
File Name : unpacked.EXE
File Size : 2628608 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : b16c99013d17dee0dab1028d55c9725f
SHA1 : e2a54f51c204b28746731ce4c0f7a8df2493a3a6
Online report : http://virscan.org/report/e3265e6f701790bf8b6e92c70e7680b5.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.0.0.16 2008.10.06 2008-10-06 4.08 -
安博士V3 2008.10.07.01 2008.10.07 2008-10-07 1.05 -
AntiVir 7.8.1.34 7.0.7.2 2008-10-07 2.48 -
Arcavir 1.0.5 200810061612 2008-10-06 1.24 -
Authentium 5.1.1 200810012118 2008-10-01 1.89 -
AVAST! 3.0.1 081006-0 2008-10-06 0.12 -
AVG 7.5.52.442 270.7.6/1711 2008-10-06 1.64 -
BitDefender 7.60825.1839917 7.21185 2008-10-07 3.15 -
CA (VET) 9.0.0.143 31.6.6132 2008-10-06 3.33 -
ClamAV 0.94 8380 2008-10-07 0.59 -
Comodo 2.11 2.0.0.668 2008-10-06 0.50 -
CP Secure 1.1.0.715 2008.10.07 2008-10-07 6.15 -
Dr.Web 4.44.0.9170 2008.10.06 2008-10-06 3.47 -
ewido 4.0.0.2 2008.10.06 2008-10-06 4.36 -
F-Prot 4.4.4.56 20081006 2008-10-06 1.50 -
F-Secure 5.51.6100 2008.10.07.01 2008-10-07 2.45 -
飞塔 2.81-3.113 9.620 2008-10-06 0.32 Suspicious
---------------只有这个飞塔还说是可疑---------------------
ViRobot 20081006 2008.10.06 2008-10-06 0.40 -
Ikarus T3.1.01.34 2008.10.06.71591 2008-10-06 3.97 -
江民杀毒 11.0.706 2008.10.07 2008-10-07 1.25 -
卡巴斯基 5.5.10 2008.10.07 2008-10-07 0.07 -
金山毒霸 2008.9.8.18 2008.10.7.14 2008-10-07 0.71 -
迈克菲 5.3.00 5399 2008-10-06 2.14 -
Microsoft 1.4005 2008.10.06 2008-10-06 4.08 -
mks_vir 2.01 2008.10.07 2008-10-07 2.41 -
Norman 5.93.01 5.93.00 2008-10-05 5.26 -
熊猫卫士 9.05.01 2008.10.06 2008-10-06 2.13 -
趋势科技 8.700-1004 5.582.03 2008-10-06 0.06 -
Quick Heal 9.50 2008.10.07 2008-10-07 2.72 -
瑞星 20.0 20.65.02.00 2008-10-06 0.87 -
Sophos 2.79.0 4.34 2008-10-07 1.84 -
Sunbelt 3.1.1707.1 2286 2008-10-06 0.63 -
赛门铁克 1.3.0.24 20081006.006 2008-10-06 0.16 -
nProtect 2008-10-06.00 1501742 2008-10-06 3.57 -
The Hacker 6.3.1.0 v00102 2008-10-06 0.52 -
VBA32 3.12.8.6 20081006.1506 2008-10-06 2.35 -
VirusBuster 4.5.11.10 10.89.9/633969 2008-10-06 2.70 -

http://virscan.org/report/e3265e6f701790bf8b6e92c70e7680b5.html

[ 本帖最后由 ahzsmzkf 于 2008-10-7 16:21 编辑 ]

显示全部楼层 · 发表于 2008-10-7 17:18:41

殼

真是令人無奈

[病毒样本] 纯净版的ghost的个别文件

本帖子中包含更多资源

本帖子中包含更多资源