请看看这个所谓的“解压缩密码查看器”是不是病毒？

fqyy021

从网上下载一段视频，提示要用解压缩密码查看器才能打开，打开即安装了程序。也不知道安装到了哪里，也不知道安装是什么东西，是病毒的可能性较大。
上传该解压缩密码查看器，高手分析一下。

可疑的“解压缩密码查看器”



感谢楼下两位，可是我的卡巴KIS全功能8.0怎么没有报，没有反应？怎么查杀？救命！！

[ 本帖最后由 fqyy021 于 2009-7-2 20:34 编辑 ]

hansyu

McAfee 已自动阻止和删除 特洛伊木马程序。

关于此 特洛伊木马程序
已检测到: Downloader-ZL (特洛伊木马程序), Downloader-ZL (特洛伊木马程序)
位置: C:\Users\Hansyu\Desktop\东西放这哦\解压缩密码查看器\解压缩密码查看器.exe

特洛伊木马程序以合法程序的身份出现，但可能会损坏重要文件，降低性能，并允许对计算机进行未经授权的访问。

zzl699

avg8.5报特洛伊木马程序

huangqian202

费尔报后门

angir

微点报未知后门
红伞报BDS/Hupigon.Gen

tun

后门程序，你的背景有没有个IE在运行呢…嘿嘿嘿


大致是复制自己到 C:\Program Files\ttplay\ttplay.exe，还注册成服务。
然后利用 IE 对外联机

[ 本帖最后由 tun 于 2009-7-2 21:02 编辑 ]

fqyy021

原帖由 tun 于 2009-7-2 20:58 发表
后门程序，你的背景有没有个IE在运行呢…嘿嘿嘿


大致是复制自己到 C:\Program Files\ttplay\ttplay.exe，还注册成服务。
然后利用 IE 对外联机

找到TTPLAY.exe，但是时间是以前创建的，不是今天，所以不是，ttplayer是千千静听，怎么能支除呢？

tun

刚试了一次，假如已经有ttplay.exe他会替换ttplay.exe变成自己。
但如果ttplay.exe原来正在运行不能替换的话病毒程序就退出，没事。

替换文件的话，创建时间是不会变的，
看看ttplay.exe是不是这个病毒文件，不是的话我就不知道怎么回事了(逃)

fqyy021

原帖由 tun 于 2009-7-2 21:23 发表
刚试了一次，假如已经有ttplay.exe他会替换ttplay.exe变成自己。
但如果ttplay.exe原来正在运行不能替换的话病毒程序就退出，没事。

替换文件的话，创建时间是不会变的，
看看ttplay.exe是不是这个病毒文件，不 ...

刚才没有运行千千静听，现在打开ttplay.exe能正常运行千千静听，能听音乐，一切正常。我应该怎么办？？

卡巴升级到最新病毒库，查C盘什么也查不到。但愿没有中毒。

[ 本帖最后由 fqyy021 于 2009-7-2 21:31 编辑 ]

tun

抱歉帮不上忙，已给卡巴等结果吧