这是个什么进程？

wer_t

yeicoec.exe

谁能帮解答一下

solag

使用xuetr检查此项父子进程  定位该模块 扫描
检查钩子 是否劫持

穿越星空

　　楼上的跑得也远了点吧？楼主只是想知道是什么进程，我也想知道，Google和Baidu都没有答案，请问楼主是在上述进程的可执行文件路径是什么？有点可疑。

lomo

能否给个截图看下。。。

solag

他检查的目的就是为了确定有无问题
我遇到这样的情况一般是彻底检查一下 楼主说的东西我百度google都没找到.......
对未知的事物仔细点没错波......

[ 本帖最后由 solag 于 2009-4-14 12:20 编辑 ]

wer_t

xuetr 没用过 不知道怎么用

exe 文件我找到了 在C:\Documents and Settings\Administrator\Local Settings\Application Data下面

结束之后也无，明显反应 在iceworld中发现其在启动组 好奇怪

可能会是木马吗？

[ 本帖最后由 wer_t 于 2009-4-15 05:10 编辑 ]

peter1123

LZ 你可以将此文件以附件发上来！这样可以更明确一些

最好附上一份sreng日志

另外，如果你只是简单的想知道是否是木马
可以将此文件上传到http://www.virustotal.com/zh-cn/
几十个杀毒软件对其分析，其结果或许对你有帮助

wer_t

反病毒引擎          版本          最后更新          扫描结果
a-squared        4.0.0.101        2009.04.15        -
AhnLab-V3        5.0.0.2                2009.04.15        -
AntiVir               7.9.0.143        2009.04.15        -
Antiy-AVL        2.0.3.1        2009.04.15        -
Authentium        5.1.2.4            2009.04.14        -
Avast             4.8.1335.0        2009.04.14        -
AVG        8.5.0.285        2009.04.14        -
BitDefender        7.2        2009.04.15        -
CAT-QuickHeal        10.00        2009.04.15        -
ClamAV        0.94.1        2009.04.15        -
Comodo        1113        2009.04.14        -
DrWeb        4.44.0.09170        2009.04.15        -
eSafe        7.0.17.0        2009.04.13        -
eTrust-Vet        31.6.6455        2009.04.14        -
F-Prot        4.4.4.56        2009.04.14        -
F-Secure        8.0.14470.0        2009.04.15        -
Fortinet        3.117.0.0        2009.04.15        -
GData        19        2009.04.15        -
Ikarus        T3.1.1.49.0        2009.04.15        -
K7AntiVirus        7.10.703        2009.04.14        -
Kaspersky        7.0.0.125        2009.04.15        -
McAfee        5584        2009.04.14        -
McAfee+Artemis        5584        2009.04.14        -
McAfee-GW-Edition        6.7.6        2009.04.15        Trojan.LooksLike.Dropper
Microsoft        1.4502        2009.04.15        -
NOD32        4009        2009.04.15        -
Norman        6.00.06        2009.04.14        -
nProtect        2009.1.8.0        2009.04.15        -
Panda        10.0.0.14        2009.04.14        -
PCTools        4.4.2.0        2009.04.14        -
Prevx1        V2        2009.04.15        -
Rising        21.25.21.00        2009.04.15        -
Sophos        4.40.0        2009.04.15        -
Sunbelt        3.2.1858.2        2009.04.15        -
Symantec        1.4.4.12        2009.04.15        -
TheHacker        6.3.4.0.309        2009.04.15        -
TrendMicro        8.700.0.1004        2009.04.15        -
VBA32        3.12.10.2        2009.04.12        -
ViRobot        2009.4.15.1693        2009.04.15        -
VirusBuster        4.6.5.0        2009.04.14        -
附加信息
File size: 286720 bytes
MD5...: 4392e0ec34b562cd3c927fbd097235da
SHA1..: e728173f36fa7c37da33f7c7f2056f0ef8f9b1d7
SHA256: 62d116e6ee6f9d6e04be969da298c40259eb29fe31519076adfee02ce5dc4e91
SHA512: f8d069d2dd3a3b7fbee63bd36c6428300a46f77c856acf237ec8fe300b9c802d
b617fbcc9caf48d8a4a69de54824e3fdab2b297f9bd983eef869eea5fea0157a
ssdeep: 6144:C1tiMpPAaTLqrayMibMxNehoKV7wDLMpXJXiIkWCMV69:8DpFurTMibMCyw
76TQV
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x36656
timedatestamp.....: 0x44efb22a (Sat Aug 26 02:30:02 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x357e2 0x36000 7.37 d967bf0fe5660161d49713a84f121315
.rdata 0x37000 0x9624 0xa000 5.54 6177159a146975fc0605c44efeba930a
.data 0x41000 0x3910 0x4000 5.28 845b7b2f99628f74cd0e2759e0043225
.rsrc 0x45000 0x288 0x1000 0.66 f84539d840a9821656bb2f23ccb85893

( 4 imports )
> KERNEL32.dll: LoadResource, GetTempFileNameA, Process32NextW, GetSystemInfo, IsProcessorFeaturePresent, QueryPerformanceFrequency, GetPrivateProfileStringA, GetCurrentThreadId, ConvertDefaultLocale, lstrlenA, CreateNamedPipeA, GetStringTypeW, IsValidLocale, GlobalAddAtomW, GetComputerNameW, IsDBCSLeadByteEx, WaitForMultipleObjects, Sleep, CreateThread, GetACP, DeleteFileA, SetLastError, GlobalUnlock, MoveFileW, GlobalLock, SetCurrentDirectoryW, ReleaseMutex, GetStringTypeA, GetPrivateProfileStringW, GetFullPathNameW, WritePrivateProfileStringW, GetFileTime, TerminateThread, SearchPathA, WriteConsoleA, SuspendThread, GetUserGeoID, CompareStringA, ExitThread, GetShortPathNameW, LocalFileTimeToFileTime, ReadFile, FlushFileBuffers, GetModuleHandleW, LocalLock, FileTimeToSystemTime, UnhandledExceptionFilter, FormatMessageW, CreateProcessA, CreateMutexA, SetProcessWorkingSetSize, VirtualFree, InitializeCriticalSectionAndSpinCount, Beep, TerminateProcess, LocalFree, TlsSetValue, FindNextFileA, SetThreadExecutionState, GetCurrentProcessId, GetSystemPowerStatus, SystemTimeToTzSpecificLocalTime, FlushInstructionCache, GetUserDefaultUILanguage, OpenFile, CreateProcessW, HeapReAlloc, VirtualAlloc, GetModuleHandleA, GetStartupInfoA
> ADVAPI32.dll: RegEnumValueW, RegOpenKeyW, CryptHashData, RegCreateKeyExW, CryptDestroyHash, DuplicateTokenEx, ImpersonateSelf, ControlService, RegQueryValueExW
> USER32.dll: FlashWindow, CheckRadioButton, GetWindow, RegisterClassA, RegisterClassExA, UnionRect, CharNextA, GetActiveWindow, GetWindowLongW, UpdateWindow, ModifyMenuW, BroadcastSystemMessageA, GrayStringA, SetMenuItemInfoW, GetInputState, GetMenuCheckMarkDimensions, ShowWindow, GetDialogBaseUnits, GetClassLongW, SetPropW, CharNextW, DefFrameProcA, EnumChildWindows, EnumWindows, TrackPopupMenu, GetMenuItemCount, CharUpperA, InvertRect, EnableWindow, DestroyAcceleratorTable, WaitMessage, GetScrollInfo, DdeUninitialize, DialogBoxParamW, IsClipboardFormatAvailable, GetAsyncKeyState, CopyAcceleratorTableW, SendMessageTimeoutA, DialogBoxIndirectParamA, DrawIcon, GetParent, GetClassInfoW, EnumThreadWindows, DdeUnaccessData, GetDlgItemTextW, LoadMenuW, UnregisterClassW, LoadIconW, WindowFromPoint, wsprintfW, SetKeyboardState, CheckMenuRadioItem, WaitForInputIdle, SetCursorPos, DrawIconEx, SetWindowWord, ReuseDDElParam, GetWindowTextA, CreateCaret, SetCapture, GetWindowRect, CharPrevA, CallWindowProcW, GetWindowDC, EndMenu, GetScrollRange, GetDlgItem, DdeAccessData, GetWindowTextLengthA, TranslateAcceleratorA, IsIconic, GetPropW, GetDoubleClickTime, CopyIcon, GetKeyNameTextA, IsDialogMessageA, UnregisterDeviceNotification, SetMenuItemBitmaps, EqualRect, SetDlgItemInt, AdjustWindowRect, SetParent, ActivateKeyboardLayout, GetMessageTime, NotifyWinEvent
> MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, longjmp, wcsstr, wcsncpy, _wcslwr, towupper, wcsrchr, wcscpy, _wtoi, free, _snwprintf, _fpreset, _msize, _vsnwprintf, _vsnprintf, _iob, isspace, _expand, sprintf, wcspbrk, towlower, wcsncmp, _cexit, _wsplitpath, wcstok, _splitpath, strncmp, _itoa, srand, tolower, _strnicmp, _purecall, _beginthreadex, rand, fclose, _mbsrchr, qsort, _exit, bsearch, floor, memmove, wcslen, _wtol, localtime, iswdigit, strstr, atof, wcsspn, _setmbcp

刚用Peter推荐的网址看了 就McAfee-GW-Edition        6.7.6        2009.04.15        Trojan.LooksLike.Dropper

exe的附件在下面 谢谢大家了帮忙查看

[ 本帖最后由 wer_t 于 2009-4-15 18:05 编辑 ]

solag

恕我愚昧 看不出来
只知道无毒无害...无色无味

solag

是不是什么搜索软件
你发的附件所在的文件夹是不是一个搜索软件？