發新話題
打印

[求助] setup.exe是病毒嗎?

setup.exe是病毒嗎?

今天開虛擬機打開google chrome時,自動下載此壓縮檔
安裝後首頁被改成Bing
移除後再C:\Program Files\ContinueToSave內留下sprotector.dll

https://www.virustotal.com/file/018985ea151e803c2d4065b3a0c6ab77077f0f1f4dd808f3ec065c6271e9e570/analysis/

https://www.virustotal.com/file/8dfaa570ed54da7aa271f91c69b4e34bb943476e01541ecaa377e2fb1a0ad1b4/analysis/
這檔案是病毒嗎?

[ 本帖最後由 sam5601tw 於 2013-1-15 10:41 編輯 ]
附件: 您所在的用戶組無法下載或查看附件

TOP

不是毒 正常的帶有效簽名 含AD罷了 改首頁(不是毒網)沒啥惡意一向不理會

TOP

原來是改首頁而已..
感謝P大的解答

TOP

下載了4個

http://plugnrex.info/?e=ctos&publisher=538&country=TW&ind=167569376&ssd=3068841512&hid=806408939&osid=501&channel=0&category_name=ContinueToSave&install_date=20120115

http://cima.security.comodo.com/report/5c3a3949eb88d1830b4452fb966181ff8bfa2ee3.htm
第一隻被抓


http://i1.installbox1.info/addons/agent_setup.exe

http://i1.installbox1.info/addons/dfndr/search_d_continue_up.exe

http://i1.installbox1.info/addons/dfndr/search_d_soft_quick.exe

--------------------
他會添加一些自啟動,改一個DLL全局注入的登錄檔。

找了一下,這軟體的主要執行檔只有 DLL 而已(正常是會一堆EXE)
引用:
2013-01-15 15:10:24   C:\WINDOWS\explorer.exe   Create Process, Block File   C:\virus\setup35\setup.exe   

2013-01-15 15:10:50   C:\virus\setup35\setup.exe   Sandboxed As   Partially Limited   

2013-01-15 15:10:59   C:\virus\setup35\setup.exe   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\Tsu8D4F83A8.dll   

2013-01-15 15:11:22   C:\DOCUME~1\Roger\LOCALS~1\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\coupon_setup.exe   Sandboxed As   Partially Limited   

2013-01-15 15:11:23   C:\DOCUME~1\Roger\LOCALS~1\Temp\7zSC6.tmp\50f5064c74002.exe   Sandboxed As   Partially Limited   

2013-01-15 15:11:27   C:\Documents and Settings\Roger\Local Settings\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\coupon_setup.exe   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\7zSC6.tmp\50f5064c73eac@50f5064c73ee4.com   

2013-01-15 15:11:27   C:\Documents and Settings\Roger\Local Settings\Temp\7zSC6.tmp\50f5064c74002.exe   Modify File   C:\Documents and Settings\All Users\「開始」功能表\程式集\continuetosave\continuetosave.lnk   

2013-01-15 15:11:27   C:\Documents and Settings\Roger\Local Settings\Temp\7zSC6.tmp\50f5064c74002.exe   Modify Key   HKLM\SOFTWARE\Classes\CLSID\{5074E980-03D1-45ED-45EE-2706E07AC3D6}   

2013-01-15 15:11:27   C:\Documents and Settings\Roger\Local Settings\Temp\7zSC6.tmp\50f5064c74002.exe   Modify File   C:\Documents and Settings\All Users\Application Data\continuetosave\50f5064c7403a.dll   

2013-01-15 15:11:27   C:\Documents and Settings\Roger\Local Settings\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\coupon_setup.exe   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\7zSC6.tmp\50f5064c74002.exe   

2013-01-15 15:11:29   C:\DOCUME~1\Roger\LOCALS~1\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\assistant_v3.exe   Sandboxed As   Partially Limited   

2013-01-15 15:11:37   C:\Program Files\ContinueToSave\sprotector.dll   Sandboxed As   Partially Limited   

2013-01-15 15:11:38   C:\WINDOWS\regedit.exe   Sandboxed As   Partially Limited   

2013-01-15 15:11:38   C:\Program Files\ContinueToSave\sprotector.dll   Modify Key   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs   

2013-01-15 15:11:38   C:\Documents and Settings\Roger\Local Settings\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\assistant_v3.exe   Modify File   C:\Program Files\ContinueToSave\sprotector.dll   

2013-01-15 15:11:55   C:\Documents and Settings\All Users\Application Data\CloudSoft\ContinueToSave\ContinueToSave.exe   Modify File   C:\WINDOWS\Tasks\{976A8D91-368A-488D-8830-A16FC4DB1A44}.job   

2013-01-15 15:11:55   C:\Documents and Settings\Roger\Local Settings\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\agent_setup.exe   Modify File   C:\Documents and Settings\All Users\Application Data\CloudSoft\ContinueToSave\ContinueToSave.exe   

2013-01-15 15:11:55   C:\Documents and Settings\Roger\Local Settings\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\agent_setup.exe   Modify Key   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu   

2013-01-15 15:11:55   C:\Documents and Settings\Roger\Local Settings\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\agent_setup.exe   Modify File   C:\Documents and Settings\All Users\Application Data\InstallMate\ContinueToSave\_Setup.dll   

2013-01-15 15:11:55   C:\Documents and Settings\Roger\Local Settings\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\agent_setup.exe   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\Tsu6DE74781.dll   

2013-01-15 15:11:55   C:\WINDOWS\regedit.exe   Modify Key   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs

2013-01-15 15:12:22   C:\virus\setup35\setup.exe   Modify Key   HKUS\S-1-5-21-448539723-261903793-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu   
  

2013-01-15 15:12:22   C:\virus\setup35\setup.exe   Modify File   C:\Documents and Settings\All Users\Application Data\InstallMate\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\_Setup.dll   

2013-01-15 15:12:22   C:\virus\setup35\setup.exe   Modify Key   HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}   

2013-01-15 15:12:22   C:\Program Files\SoftQuick\sprotector.dll   Modify Key   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs   

2013-01-15 15:12:22   C:\Documents and Settings\Roger\Local Settings\Temp\{BD16A6B6-C3BC-4CD2-AE39-8B9E66F58440}\Addons\web_assistant_v99.exe   Modify File   C:\Program Files\SoftQuick\sprotector.dll   
[ 本帖最後由 Roger 於 2013-1-15 15:45 編輯 ]
附件: 您所在的用戶組無法下載或查看附件

TOP

這有啥病毒??? 注意有通知可以選擇



[ 本帖最後由 peter_yu 於 2013-1-15 16:52 編輯 ]

TOP

實際上免費帶AD是正常的事 GOOGLE TOOLBER不是也藏在免費版中怎麼不報GOOGLE

GOOGLE TOOLBER不是也藏在免費版中怎麼不報GOOGLE呢  邏輯說不通的

有正確簽名的 不用太擔心  為非作歹自然有人會找上門去


[ 本帖最後由 peter_yu 於 2013-1-15 20:29 編輯 ]

TOP

發新話題