瑞星卡卡安全论坛

1、删除启动项

附件: 15584720061211175733.jpg

2、删除病毒文件

附件: 15584720061211175809.jpg

3、该删除那些文件？那个winsys.ini的内容基本上都告诉你了。

附件: 15584720061211175852.jpg

请问斑竹，mplay.bat的内容是什么？

引用:

【scriptman的贴子】请问斑竹，mplay.bat的内容是什么？ ………………

加密后的乱码

附件: 15584720061211181101.jpg

看样子埠象是加密，倒象是假BAT，很可能是EXE或DLL。

baohe，请把这个mplay.bat发给我谢谢killvir@gmail.com

引用:

【艾玛的贴子】baohe，请把这个mplay.bat发给我谢谢killvir@gmail.com ………………

汗！
这烂东东——玩儿完了，就扔了。
好像是在江民那里见到的。

楼主用的什么软件？？？

这东东，应该会自我更新的。061209就是它的对应版本。

我新年之际刚好拿到新样本，不过这次是mplay.com。
我拿到的这个还会修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
AutoRun键的值修改为d:\mplay.com
这样一运行CMD的同时就会运行mplay.com
另外，样本是Delphi写的，呵呵。
这东西会尝试结束KV进程，绕过瑞星的IE执行保护和卡巴的主动防御提示。

更多的分析见我的blog文章
http://hi.baidu.com/yicong2007/blog/item/bc46c13f51a821c27c1e716f.html

PS：刚拿到的时候就觉得眼熟，原来是猫叔分析过，呵呵。

引用:

【baohe的贴子】1、删除启动项 ………………

我删除，说将阻止用户登陆

引用:

【轩辕小聪的贴子】这东东，应该会自我更新的。061209就是它的对应版本。 我新年之际刚好拿到新样本，不过这次是mplay.com。 我拿到的这个还会修改注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor] AutoRun键的值修改为d:\mplay.com 这样一运行CMD的同时就会运行mplay.com 另外，样本是Delphi写的，呵呵。 这东西会尝试结束KV进程，绕过瑞星的IE执行保护和卡巴的主动防御提示。 更多的分析见我的blog文章 http://hi.baidu.com/yicong2007/blog/item/bc46c13f51a821c27c1e716f.html PS：刚拿到的时候就觉得眼熟，原来是猫叔分析过，呵呵。 ………………

我是看了你的博客文章才弄好的（修改了注册表），谢谢你！要是照楼主删除，提出警告会阻止用户登陆，还是有点害怕无法继续，新手都不肯大胆尝试，我也是认为是全部删除键值了。如果删除没有危险，楼主应该告诉大家。

这东东最近闹得挺欢

我中的是mpaly.com,昨晚弄了一个晚上才弄好。

引用:

【难得清醒的贴子】 我是看了你的博客文章才弄好的（修改了注册表），谢谢你！要是照楼主删除，提出警告会阻止用户登陆，还是有点害怕无法继续，新手都不肯大胆尝试，我也是认为是全部删除键值了。如果删除没有危险，楼主应该告诉大家。 ………………

Autoruns的显示和SREng等有所不同。

用Autoruns，隐藏了微软项（Hide Microsoft Entries）之后，显示的userinit项多出来的项目可以直接删除。

而SREng则会显示：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\Userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061209.dll start>  [N/A]
这一项目，就必须双击后把值中的“C:\WINDOWS\system32\Userinit.exe,”之后的部分删除。