瑞星卡卡安全论坛

今天拿到的样本，名为www.Crsky.com.exe。
瑞星、卡巴斯基今天的病毒库均不报毒。
www.Crsky.com.exe运行后，释放NTdHcP.exe到system32文件夹中。添加注册表启动项两个：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
启动项指向system32下的NTdHcP.exe。
NTdHcP.exe禁止下列安全软件的服务加载：
navapsvc（诺顿）
kavsvc（卡巴斯基）
KVSrvXP（江民）
KVWSC（江民）
KPfwSvc（金山毒霸）
KWatchSvc（金山毒霸）
SNDSrvc（诺顿）
ccProxy（诺顿）
ccEvtMgr（诺顿）
ccSetMgr（诺顿）
SPBBCSvc（诺顿）
Symantec Core LC（诺顿）
NPFMntor（诺顿）
MskService（麦咖啡）
FireSvc（BitGuard）
McShield（麦咖啡）
McTaskManager（麦咖啡）
McAfeeFramework（麦咖啡）
RfwService（瑞星防火墙）
RavMon（瑞星监控）

【建议】备份一下自己杀软的注册表加载项吧。就那么几个键。

不懂 猫叔能再说清楚点不?

【建议】备份一下自己杀软的注册表加载项吧。就那么几个键。
<==哪些是杀软的注册表加载项，不认识啊

学习........

引用:

【绿色精灵的贴子】【建议】备份一下自己杀软的注册表加载项吧。就那么几个键。 <==哪些是杀软的注册表加载项，不认识啊 ………………

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

瑞星杀软的，就这几个键。导出备份即可。

瑞星防火墙的——我没装，不清楚。自己在注册表中搜一下（Rfw或RfwService）。

猫叔你是怎么成为高手的？

引用:

【jordy1983的贴子】猫叔你是怎么成为高手的？ ………………

高手？我不是。
在这里熏陶了3年了。应该能处理一些小问题了。

我还是不明白 我要怎么做？ 我用兔子备份一下注册表可以么？ 中了毒再还原注册表？

引用:

【jordy1983的贴子】猫叔你是怎么成为高手的？ ………………

这能告诉你吗？我们只有认真学习。

ntdhcp我早就留心了，没想到又变种了，速度购快

好麻烦啊....

我讨厌病毒~~~

引用:

【baohe的贴子】 高手？我不是。 在这里熏陶了3年了。应该能处理一些小问题了。 ………………

bao叔太谦虚咯，我们这些后辈应该向您多多学习！

赶紧照图施工了，谢谢楼主

先备份再说
谢谢

学习

bao叔,偶弱弱地问一句:导出然后做什么呢?