瑞星卡卡安全论坛

原帖地址:http://forum.ikaka.com/topic.asp?board=28&artid=8169265&page=2

在我机里运行后..

注册表添加
HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR

添加服务 XPROTECTOR  添加服务后立刻被停止..

生成文件
C:\WINDOWS\system32\drivers\Oreans.sys

只要删除注册表
HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR
删除文件
C:\WINDOWS\system32\drivers\Oreans.sys

就干净了..好象跟你机里的有点不一样..

样本转交baohe...

运行完后弹出窗口..


附件: 6323982006914113834.JPG

感谢了，我那个样本是从c:\windows\system32\xuhuan.exe压缩的，而不是SReng里所显示的c:\windows\xuhuan.exe，不知跟这个有没关系。但c:\windows\下没有看到，而隐藏文件打不开，所以没法找到

学习一下

[windowservices / windowservices]
<C:\WINDOWS\xuhuan.exe><Microsoft Corporation>

我要这个...压缩 发送 bin59420@yahoo.com.cn

不好意思，可能是我没说清楚，现在电脑里的隐藏文件显示不了，在文件夹选项里设置也不行，而且在c:\windows\下搜索xuhuan.exe没有找到（选择了搜索隐藏文件），所以现在没辙，关键问题要先解决隐藏文件不能显示的问题，辛苦了

http://free.ys168.com/?mopery
下载 不能显示隐藏文件的注册表 导入 即可..

学习了

果然有效，c:\windows\xuhuan.exe已找到并发送，劳烦mopery斑竹再看看了，谢谢

引用:

【mopery的贴子】原帖地址:http://forum.ikaka.com/topic.asp?board=28&artid=8169265&page=2 在我机里运行后.. 注册表添加 HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR 添加服务 XPROTECTOR  添加服务后立刻被停止.. 生成文件 C:\WINDOWS\system32\drivers\Oreans.sys 只要删除注册表 HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR 删除文件 C:\WINDOWS\system32\drivers\Oreans.sys 就干净了..好象跟你机里的有点不一样.. 样本转交baohe... 运行完后弹出窗口.. ………………

我观察到的与你说的类似。
只是那个窗口信息是——你没安装弹窗软件，不能运行。之后，蓝屏重启。
重启后，停止那个服务，删除那个.sys，删除其注册表启动项。完事。

学习

多谢诸位高手的关注，不知新的病毒样本运行结果是否一样，mopery斑竹如果出结果了请告知一声

有点等不及了

大侠下班了吗