卡巴报病毒，小红伞警告、大蜘蛛无视，到底是不是病毒？

显示全部楼层 · 发表于 2010-1-5 17:58:34

本帖最后由 123cxy 于 2010-1-5 18:01 编辑

网上下载的一个深度系统里面的一个文件，IE7浏览器的安装文件，卡巴报病毒，小红伞警告，大蜘蛛、趋势、江民无视，这几款杀软的病毒库都是今天更新的，应该都是最新的，现在我也不知道它到底是不是病毒？各位帮忙看看它是不是病毒。
样本下载地址：http://www.uushare.com/user/chenxy/file/2397072

显示全部楼层 · 发表于 2010-1-5 20:50:22

ie7的安装程序，不是病毒

显示全部楼层 · 发表于 2010-1-5 20:52:21

小A拦

显示全部楼层 · 发表于 2010-1-5 21:56:18

ie7的安装程序，不是病毒
Palkia 发表于 2010-1-5 20:50

那卡巴斯基是误报咯。

显示全部楼层 · 发表于 2010-1-5 22:58:55

不是误报，启发报修改主页

显示全部楼层 · 发表于 2010-1-6 00:20:52

用autoit写的东西

2010-1-6 00:15:49 修改注册表值阻止
进程: d:\emule\soft\soft\ie7.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\IE7
值: C:\windows\system32\ie7setup.exe
规则: [注册表组]自动运行程序所在位置_ -> [注册表]*\SOFTWARE\Microsoft\window*\CurrentVersion\Run*

2010-1-6 00:15:50 创建文件允许
进程: d:\emule\soft\soft\ie7.exe
目标: C:\WINDOWS\system32\ie7setup.exe
规则: [文件组][A]所有执行文件_ -> [文件]*; *.exe

2010-1-6 00:15:53 创建文件允许
进程: d:\emule\soft\soft\ie7.exe
目标: C:\WINDOWS\system32\ie.exe
规则: [文件组][A]所有执行文件_ -> [文件]*; *.exe

2010-1-6 00:15:59 创建新进程阻止
进程: d:\emule\soft\soft\ie7.exe
目标: c:\windows\system32\ie.exe
命令行: C:\WINDOWS\system32\ie.exe /quiet /passive
规则: [应用程序]*

————
C:\WINDOWS\system32\ie.exe
是真的安装程序

C:\WINDOWS\system32\ie7setup.exe的话
2010-1-6 00:20:09 创建文件阻止
进程: c:\windows\system32\ie7setup.exe
目标: C:\Documents and Settings\Administrator\Favorites\6565.cn-网址导航-实用查询.url
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [文件]c:\documents and settings\*\favorites

2010-1-6 00:20:09 创建文件阻止
进程: c:\windows\system32\ie7setup.exe
目标: C:\Documents and Settings\Administrator\Favorites\最新系统下载.url
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [文件]c:\documents and settings\*\favorites

2010-1-6 00:20:09 创建文件阻止
进程: c:\windows\system32\ie7setup.exe
目标: C:\Documents and Settings\Administrator\Favorites\百度一下,你就知道.url
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [文件]c:\documents and settings\*\favorites

2010-1-6 00:20:09 创建文件阻止
进程: c:\windows\system32\ie7setup.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [文件]c:\documents and settings\*\application data\microsoft\internet explorer\quick launch

2010-1-6 00:20:09 修改注册表值阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ITBar7Position
值: 0x00000001(1)
规则: [注册表组]IE浏览器设置_ -> [注册表]*\Software\Microsoft\Internet explorer\Toolbar*

2010-1-6 00:20:09 删除注册表项阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

2010-1-6 00:20:09 修改注册表值阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope
值: {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

2010-1-6 00:20:09 修改注册表值阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Version
值: 0x00000001(1)
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

2010-1-6 00:20:09 创建注册表项阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

2010-1-6 00:20:09 创建注册表项阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

2010-1-6 00:20:09 创建注册表项阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

2010-1-6 00:20:09 创建注册表项阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

2010-1-6 00:20:09 创建注册表项阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

2010-1-6 00:20:09 创建注册表项阻止
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
规则: [应用程序]c:\windows\system32\ie7setup.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

2010-1-6 00:20:09 修改注册表值阻止并结束进程
进程: c:\windows\system32\ie7setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://www.6565.cn/?ie7
规则: [注册表组]自动击杀用 -> [注册表]*\Software\Microsoft\Internet explorer\Main; Start Page*

显示全部楼层 · 发表于 2010-1-6 08:50:11

本帖最后由 123cxy 于 2010-1-6 08:54 编辑

楼上上两位，那这个ie7的安装程序应该算是病毒，还是只是修改主页的恶意程序。或者不是病毒、恶意程序而只是向IE收藏夹里面添加了一些网页的地址，很多装机系统里面都会默认的向IE里面添加些网页的。

显示全部楼层 · 发表于 2010-1-6 10:28:41

本帖最后由 username 于 2010-1-6 10:30 编辑

是毒
1. ie7不是它那里才有的
2. 完全不问经用户同意
那些垃圾系统还会改shdoclc.dll还是shdocvw.dll来劫持搜索引擎
但没见过有毒这样干……

[病毒样本] 卡巴报病毒，小红伞警告、大蜘蛛无视，到底是不是病毒？