瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛涛张进------info.exe病毒解决方案（病毒作者看到要吐血）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 2 3 456

5 / 6 页

跳转页

涛张进------info.exe病毒解决方案（病毒作者看到要吐血）

纳兰明珠初生襁褓狮帖子:65 注册: 2007-01-08 来自:	发表于： 2007-02-08 13:27 \| 只看楼主短消息资料字号：小中大 41楼是的，是用SSM呀。你要设置好。。附件: 文件名:817002200728131747.jpg 下载次数:527 文件类型:image/pjpeg 文件大小: 上传时间:2007-2-8 13:27:08 描述:
纳兰明珠初生襁褓狮帖子:65 注册: 2007-01-08 来自:

纳兰明珠初生襁褓狮帖子:65 注册: 2007-01-08 来自:	发表于： 2007-02-08 13:28 \| 只看楼主短消息资料字号：小中大 42楼不过我为了研究和别人能看懂，所以稍微改了下。
纳兰明珠初生襁褓狮帖子:65 注册: 2007-01-08 来自:

自信弱冠狮

帖子:357
注册: 2006-06-22
来自:

发表于： 2007-02-08 13:42 | 短消息资料

字号：小中大 43楼

引用:

【浪涛的贴子】以上方法在别的机器上试了一下，OK了，但是我的机器怎么办呢，头大，还请各位指点指点
我是OEM XPhome的
………………

郁闷!!我说呢>>>找了半天也没找到安全..嗨..!!

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-02-08 14:25 \| 短消息资料字号：小中大 44楼【回复“浪涛”的帖子】 INFO.exe添加/修改的注册表内容如下： HKEY_CLASSES_ROOT\ASP.HostEncode\CLSID @="{0CF774D1-F077-11D1-B1BC-00C04F86C324}" HKEY_CLASSES_ROOT\aspfile\ScriptHostEncode @="{0CF774D1-F077-11D1-B1BC-00C04F86C324}" HKEY_CLASSES_ROOT\CLSID\ {0CF774D0-F077-11D1-B1BC-00C04F86C324} HKEY_CLASSES_ROOT\CLSID\ {0D43FE01-F093-11CF-8940-00A0C9054228} HKEY_CLASSES_ROOT\CLSID\ {248DD896-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\CLSID\ {32DA2B15-CFED-11D1-B747-00C04FC2B085} HKEY_CLASSES_ROOT\CLSID\ {85131630-480C-11D2-B1F9-00C04F86C324} HKEY_CLASSES_ROOT\CLSID\ {D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731} HKEY_CLASSES_ROOT\CLSID\ {EE09B103-97E0-11CF-978F-00A02463E06F} HKEY_CLASSES_ROOT\HTML.HostEncode\CLSID @="{0CF774D0-F077-11D1-B1BC-00C04F86C324}" HKEY_CLASSES_ROOT\Interface\ {0AB5A3D0-E5B6-11D0-ABF5-00A0C90FFFC0} HKEY_CLASSES_ROOT\Interface\ {248DD892-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\ {2A0B9D10-4B87-11D3-A97A-00104B365C9F} HKEY_CLASSES_ROOT\Interface\ {42C642C1-97E1-11CF-978F-00A02463E06F} HKEY_CLASSES_ROOT\Interface\ {53BAD8C1-E718-11CF-893D-00A0C9054228} HKEY_CLASSES_ROOT\Interface\ {A4C466B8-499F-101B-BB78-00AA00383CBB} HKEY_CLASSES_ROOT\Interface\ {AADC65F6-CFF1-11D1-B747-00C04FC2B085} HKEY_CLASSES_ROOT\Interface\ {C7C3F5A0-88A3-11D0-ABCB-00A0C90FFFC0} HKEY_CLASSES_ROOT\Interface\ {C7C3F5A1-88A3-11D0-ABCB-00A0C90FFFC0} HKEY_CLASSES_ROOT\Interface\ {C7C3F5A2-88A3-11D0-ABCB-00A0C90FFFC0} HKEY_CLASSES_ROOT\Interface\ {C7C3F5A3-88A3-11D0-ABCB-00A0C90FFFC0} HKEY_CLASSES_ROOT\Interface\ {C7C3F5A4-88A3-11D0-ABCB-00A0C90FFFC0} HKEY_CLASSES_ROOT\Interface\ {C7C3F5A5-88A3-11D0-ABCB-00A0C90FFFC0} HKEY_CLASSES_ROOT\JSFile\ScriptHostEncode @="{85131630-480C-11D2-B1F9-00C04F86C324}" HKEY_CLASSES_ROOT\JSFile.HostEncode\CLSID @="{85131630-480C-11D2-B1F9-00C04F86C324}" HKEY_CLASSES_ROOT\MSWinsock.Winsock\CLSID @="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}" HKEY_CLASSES_ROOT\MSWinsock.Winsock\CurVer @="MSWinsock.Winsock.1" HKEY_CLASSES_ROOT\MSWinsock.Winsock.1\CLSID @="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}" HKEY_CLASSES_ROOT\Opera.HTML\ScriptHostEncode @="{0CF774D0-F077-11D1-B1BC-00C04F86C324}" HKEY_CLASSES_ROOT\Scripting.Dictionary\CLSID @="{EE09B103-97E0-11CF-978F-00A02463E06F}" HKEY_CLASSES_ROOT\Scripting.Encoder\CLSID @="{32DA2B15-CFED-11D1-B747-00C04FC2B085}" HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID @="{0D43FE01-F093-11CF-8940-00A0C9054228}" HKEY_CLASSES_ROOT\TypeLib\{000204EF-0000-0000-C000-000000000046}\6.0\9\win32 @="C:\\windows\\system32\\msvbvm60.dll" HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\0\win32 @="C:\\windows\\system32\\mswinsck.ocx" HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\FLAGS @="2" HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\HELPDIR @="" HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\0\win32 @="C:\\windows\\system32\\scrrun.dll" HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\ FLAGS HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\ HELPDIR HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\9\win32 @="C:\\windows\\system32\\msvbvm60.dll\\3" HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\ FLAGS HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\ HELPDIR HKEY_CLASSES_ROOT\VBSFile\ScriptHostEncode @="{85131631-480C-11D2-B1F9-00C04F86C324}" HKEY_CLASSES_ROOT\VBSFile.HostEncode\CLSID @="{85131631-480C-11D2-B1F9-00C04F86C324}" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime "EventMessageFile"="C:\\windows\\system32\\msvbvm60.dll" "TypesSupported"=dword:00000004
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

自信弱冠狮

帖子:357
注册: 2006-06-22
来自:

发表于： 2007-02-08 14:34 | 短消息资料

字号：小中大 45楼

引用:

【baohe的贴子】【回复“浪涛”的帖子】

INFO.exe添加/修改的注册表内容如下：

HKEY_CLASSES_ROOT\ASP.HostEncode\CLSID
@="{0CF774D1-F077-11D1-B1BC-00C04F86C324}"

HKEY_CLASSES_ROOT\aspfile\ScriptHostEncode
@="{0CF774D1-F077-11D1-B1BC-00C04F86C324}"

HKEY_CLASSES_ROOT\CLSID\
{0CF774D0-F077-11D1-B1BC-00C04F86C324}

HKEY_CLASSES_ROOT\CLSID\
{0D43FE01-F093-11CF-8940-00A0C9054228}

HKEY_CLASSES_ROOT\CLSID\
{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\CLSID\
{32DA2B15-CFED-11D1-B747-00C04FC2B085}

HKEY_CLASSES_ROOT\CLSID\
{85131630-480C-11D2-B1F9-00C04F86C324}

HKEY_CLASSES_ROOT\CLSID\
{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}

HKEY_CLASSES_ROOT\CLSID\
{EE09B103-97E0-11CF-978F-00A02463E06F}

HKEY_CLASSES_ROOT\HTML.HostEncode\CLSID
@="{0CF774D0-F077-11D1-B1BC-00C04F86C324}"

HKEY_CLASSES_ROOT\Interface\
{0AB5A3D0-E5B6-11D0-ABF5-00A0C90FFFC0}

HKEY_CLASSES_ROOT\Interface\
{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\
{2A0B9D10-4B87-11D3-A97A-00104B365C9F}

HKEY_CLASSES_ROOT\Interface\
{42C642C1-97E1-11CF-978F-00A02463E06F}

HKEY_CLASSES_ROOT\Interface\
{53BAD8C1-E718-11CF-893D-00A0C9054228}

HKEY_CLASSES_ROOT\Interface\
{A4C466B8-499F-101B-BB78-00AA00383CBB}

HKEY_CLASSES_ROOT\Interface\
{AADC65F6-CFF1-11D1-B747-00C04FC2B085}

HKEY_CLASSES_ROOT\Interface\
{C7C3F5A0-88A3-11D0-ABCB-00A0C90FFFC0}

HKEY_CLASSES_ROOT\Interface\
{C7C3F5A1-88A3-11D0-ABCB-00A0C90FFFC0}

HKEY_CLASSES_ROOT\Interface\
{C7C3F5A2-88A3-11D0-ABCB-00A0C90FFFC0}

HKEY_CLASSES_ROOT\Interface\
{C7C3F5A3-88A3-11D0-ABCB-00A0C90FFFC0}

HKEY_CLASSES_ROOT\Interface\
{C7C3F5A4-88A3-11D0-ABCB-00A0C90FFFC0}

HKEY_CLASSES_ROOT\Interface\
{C7C3F5A5-88A3-11D0-ABCB-00A0C90FFFC0}

HKEY_CLASSES_ROOT\JSFile\ScriptHostEncode
@="{85131630-480C-11D2-B1F9-00C04F86C324}"

HKEY_CLASSES_ROOT\JSFile.HostEncode\CLSID
@="{85131630-480C-11D2-B1F9-00C04F86C324}"

HKEY_CLASSES_ROOT\MSWinsock.Winsock\CLSID
@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"

HKEY_CLASSES_ROOT\MSWinsock.Winsock\CurVer
@="MSWinsock.Winsock.1"

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1\CLSID
@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"

HKEY_CLASSES_ROOT\Opera.HTML\ScriptHostEncode
@="{0CF774D0-F077-11D1-B1BC-00C04F86C324}"

HKEY_CLASSES_ROOT\Scripting.Dictionary\CLSID
@="{EE09B103-97E0-11CF-978F-00A02463E06F}"

HKEY_CLASSES_ROOT\Scripting.Encoder\CLSID
@="{32DA2B15-CFED-11D1-B747-00C04FC2B085}"

HKEY_CLASSES_ROOT\Scripting.FileSystem\CLSID
@="{0D43FE01-F093-11CF-8940-00A0C9054228}"

HKEY_CLASSES_ROOT\TypeLib\{000204EF-0000-0000-C000-000000000046}\6.0\9\win32
@="C:\\windows\\system32\\msvbvm60.dll"

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\0\win32
@="C:\\windows\\system32\\mswinsck.ocx"

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\FLAGS
@="2"

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\HELPDIR
@=""

HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\0\win32
@="C:\\windows\\system32\\scrrun.dll"

HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\
FLAGS

HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\
HELPDIR

HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\9\win32
@="C:\\windows\\system32\\msvbvm60.dll\\3"

HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\
FLAGS

HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\
HELPDIR

HKEY_CLASSES_ROOT\VBSFile\ScriptHostEncode
@="{85131631-480C-11D2-B1F9-00C04F86C324}"

HKEY_CLASSES_ROOT\VBSFile.HostEncode\CLSID
@="{85131631-480C-11D2-B1F9-00C04F86C324}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime
"EventMessageFile"="C:\\windows\\system32\\msvbvm60.dll"
"TypesSupported"=dword:00000004
………………

请问下猫叔..是不是补充的东东啊..
感觉好乱啊..

叱咤花甲狮

帖子:3107
注册: 2006-01-19
来自:新疆叶城

发表于： 2007-02-08 14:46 | 短消息资料

字号：小中大 46楼

引用:

【纳兰明珠的贴子】不过我为了研究和别人能看懂，所以稍微改了下。
………………

汗！我的SSM日志长期以来是这个样子，所以我都不知它有log功能！（如图）
那我怎么可以解决这问题？

附件:

文件名:652124200728143649.jpg

下载次数:458

文件类型:image/pjpeg

文件大小:

上传时间:2007-2-8 14:46:09

描述:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2007-02-08 14:51 \| 短消息资料字号：小中大 47楼至今没收到样本..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

IGaara 初生襁褓狮帖子:31 注册: 2007-02-08 来自:	发表于： 2007-02-08 16:30 \| 短消息资料字号：小中大 48楼呵呵N淫就是不一样,分析的够详悉,虽然我没分析呵. 反汇编不是那么容易的事,不是说用反汇编工具就可以向LZ那样列出一个详细的分析报表出来的. 如果对着方方面感兴趣的话,可以使用虚拟机+监控来完成一个病毒的分析工作,方法最简单.
IGaara 初生襁褓狮帖子:31 注册: 2007-02-08 来自:

浪涛初生襁褓狮帖子:53 注册: 2004-12-05 来自:	发表于： 2007-02-13 16:10 \| 短消息资料字号：小中大 49楼问题还是没有彻底解决,重装系统没解决,因为东西都在系统以外的盘上,我将年info发给斑竹了,请求帮忙.xphome版的没办法用楼主的方法,但这里还是谢谢了.
浪涛初生襁褓狮帖子:53 注册: 2004-12-05 来自:

我是来来初生襁褓狮帖子:1058 注册: 2006-09-13 来自:	发表于： 2007-02-13 16:30 \| 短消息资料字号：小中大 50楼谢谢，试试看。
我是来来初生襁褓狮帖子:1058 注册: 2006-09-13 来自:

<<上一主题|下一主题>>

1 2 3 456

5 / 6 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 涛张进------info.exe病毒解决方案（病毒作者看到要吐血）

涛张进------info.exe病毒解决方案（病毒作者看到要吐血）

附件:

文件名:817002200728131747.jpg 下载次数:527 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(190347); 上传时间:2007-2-8 13:27:08 描述:

附件:

文件名:652124200728143649.jpg 下载次数:458 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(85136); 上传时间:2007-2-8 14:46:09 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛涛张进------info.exe病毒解决方案（病毒作者看到要吐血）

文件名:817002200728131747.jpg

下载次数:527

文件类型:image/pjpeg

文件大小:

上传时间:2007-2-8 13:27:08

描述:

文件名:652124200728143649.jpg

下载次数:458

文件类型:image/pjpeg

文件大小:

上传时间:2007-2-8 14:46:09

描述: