关于niu.exe【转贴】孤独更可靠

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于niu.exe【转贴】孤独更可靠

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-27 13:57 \| 只看楼主短消息资料字号：小中大 1楼关于niu.exe【转贴】孤独更可靠孤独更可靠的分析： 1、释放病毒文件： C:\Windows\system32\niu.exe 18944 字节 C:\Windows\system32\Autorun.inf 159 字节 2、遍历磁盘，尝试在C-Z盘下生成Autorun.inf和niu.exe。 Autorun.inf内容： [AutoRun] open=niu.exe shell\open=打开(&O) shell\open\Command=niu.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=niu.exe 3、连接203.171.233.2**（河南省郑州市景安计算机网络技术有限公司）下载15个木马：（中途死了一只，汗``） C:\WINNT\system32\1.exe C:\WINNT\system32\1.DAT C:\WINNT\system32\2.exe C:\WINNT\system32\xyfini.dll C:\WINNT\system32\xyfpri.dll C:\WINNT\system32\4.exe C:\WINNT\system32\4.DAT C:\WINNT\system32\6.exe C:\WINNT\system32\tlmini.dll C:\WINNT\system32\tlmpri.dll C:\WINNT\system32\7.exe C:\WINNT\system32\7.DAT C:\WINNT\system32\8.exe C:\WINNT\system32\8.DAT C:\WINNT\system32\11.exe C:\WINNT\system32\ztkini.dll C:\WINNT\system32\ztkpri.dll C:\WINNT\system32\13.exe C:\WINNT\system32\zxeini.dll C:\WINNT\system32\zxepri.dll C:\WINNT\system32\TIMHost.dll C:\WINNT\TIMHost.exe 包括魔域、梦幻、完美世界、华夏等``（还有几个不认得是什么游戏的``=。=） 4、下载的木马群比较恶劣，使用Hook技术（WH_CBT）挂钩Explorer，检测下面窗口并尝试点击：瑞星注册表监控提示-- 同意修改确定瑞星卡卡上网安全助手 - IE防漏墙允许执行 IE 执行保护确定允许执行确定允许创建规则跳过(&S) （卡吧的检测窗口）解决方法： http://free.ys168.com/?gudugengkekao 下载冰刃和SREng（自己网上搜索） 1、打开冰刃，设置禁止进线程创建，确定。 2、冰刃“文件”功能，删除： C:\Windows\system32\niu.exe C:\Windows\system32\Autorun.inf C:\WINNT\system32\1.exe C:\WINNT\system32\1.DAT C:\WINNT\system32\2.exe C:\WINNT\system32\xyfini.dll C:\WINNT\system32\xyfpri.dll C:\WINNT\system32\4.exe C:\WINNT\system32\4.DAT C:\WINNT\system32\6.exe C:\WINNT\system32\tlmini.dll C:\WINNT\system32\tlmpri.dll C:\WINNT\system32\7.exe C:\WINNT\system32\7.DAT C:\WINNT\system32\8.exe C:\WINNT\system32\8.DAT C:\WINNT\system32\11.exe C:\WINNT\system32\ztkini.dll C:\WINNT\system32\ztkpri.dll C:\WINNT\system32\13.exe C:\WINNT\system32\zxeini.dll C:\WINNT\system32\zxepri.dll C:\WINNT\system32\TIMHost.dll C:\WINNT\TIMHost.exe 每个分区下的Autorun.inf和niu.exe （注意不要漏了，不然又要重来``） 3、设置冰刃，重启并监视。 4、重启后不要连接运行进程等，直接打开SREng，删除： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <TIMHost><C:\winnt\TIMHost.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{713AF41A-21B1-131B-1BFC-D2A90DF4A2B7}><C:\winnt\system32\xyfpri.dll> [] <{212BC423-3713-224D-3F55-32B35C62B112}><C:\winnt\system32\tlmpri.dll> [] <{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\winnt\system32\ztkpri.dll> [] <{5A65498A-7653-9801-1647-987114AB7F45}><C:\winnt\system32\zxepri.dll> [] [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2007-10-07 00:04:50
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	分享到：

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-27 14:07 \| 只看楼主短消息资料字号：小中大 2楼孤独是在2000系统下测试的病毒我拿回样本。机器的情况如下： XP2的系统，补丁打全，08体验版的瑞星，关闭了自动播放。病毒无法运行，关闭瑞星的监控，病毒运行，但是个太监！怀疑是杀软在防护。把瑞星删除，防火墙删除，卡卡关闭保护。重起，再次运行病毒！还是个太监！！！！劫持没有出现。运行SRENG看到日志不正常项目： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <crsss><C:\WINDOWS\system32\niu.exe> [] Autorun.inf [C:\] [AutoRun] open=niu.exe shell\open=打开(&O) shell\open\Command=niu.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=niu.exe [D:\] [AutoRun] open=niu.exe shell\open=打开(&O) shell\open\Command=niu.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=niu.exe [E:\] [AutoRun] open=niu.exe shell\open=打开(&O) shell\open\Command=niu.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=niu.exe [F:\] [AutoRun] open=niu.exe shell\open=打开(&O) shell\open\Command=niu.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=niu.exe 删除即可 PS：IFEO的权限没有设置过拒绝修改。但是有一点，我猜想很关键。我关闭了注册表的这里的修改权限 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 没有出现孤独高手测试的 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{713AF41A-21B1-131B-1BFC-D2A90DF4A2B7}><C:\winnt\system32\xyfpri.dll> [] <{212BC423-3713-224D-3F55-32B35C62B112}><C:\winnt\system32\tlmpri.dll> [] <{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\winnt\system32\ztkpri.dll> [] <{5A65498A-7653-9801-1647-987114AB7F45}><C:\winnt\system32\zxepri.dll> [] 也许就是这个病毒成太监的原因吧 PS：不知道这个niu.exe 是不是论坛里几个朋友出现那个什么 “禽兽尚且有点怜悯之心，而我一点都没有，所以我不是禽兽”
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京

德拉克拉·零快乐黄口狮帖子:163 注册: 2007-06-12 来自:	发表于： 2007-09-27 14:49 \| 短消息资料字号：小中大 3楼 LZ 能不能提供各样本给我谢谢 Drackla@163.com
德拉克拉·零快乐黄口狮帖子:163 注册: 2007-06-12 来自:

孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	发表于： 2007-09-27 15:03 \| 短消息资料字号：小中大 4楼此牛非彼牛也! 我写的那个分析很早的了,是个下载器 http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/a627b31692653b53f3de32ba.html/cmtid/1bccac02b81c260c4bfb5197#1bccac02b81c260c4bfb5197 2007-07-29 18:08的了 PS:把你的"牛"发个给我: Lyhan_1988@163.com 加密virus
孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:

叱咤花甲狮

帖子:14337
注册: 2007-03-08
来自:江苏南京

发表于： 2007-09-27 15:09 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【孤独更可靠的贴子】此牛非彼牛也!

我写的那个分析很早的了,是个下载器

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/a627b31692653b53f3de32ba.html/cmtid/1bccac02b81c260c4bfb5197#1bccac02b81c260c4bfb5197

2007-07-29 18:08的了

PS:把你的"牛"发个给我:

Lyhan_1988@163.com

加密virus

………………

发发发个毛毛啊~~

都是一个牛牛耶，从你那搞来滴~
江民社区你发的帖子里面的那个连接撒
晕菜菜了

锋芒艾服狮

帖子:1788
注册: 2007-01-27
来自:

发表于： 2007-09-27 16:16 | 短消息资料

字号：小中大 6楼

引用:

【日不懂啊的贴子】

发发发个毛毛啊~~

都是一个牛牛耶，从你那搞来滴~
江民社区你发的帖子里面的那个连接撒
晕菜菜了
………………

!!!

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-09-27 17:07 \| 短消息资料字号：小中大 7楼 niu.exe应该不是那个禽兽的病毒
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-27 17:45 \| 只看楼主短消息资料字号：小中大 8楼恩，搞错了今天找了了一天了，还是没弄到那个禽兽病毒样本阳光大大弄到的话，也给偶发个吧，谢谢啦~~~嘿嘿
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京

病毒研究菜鸟初生襁褓狮帖子:4 注册: 2007-10-05 来自:	发表于： 2007-10-05 10:44 \| 短消息资料字号：小中大 9楼谁有病毒文件加我QQ79588805
病毒研究菜鸟初生襁褓狮帖子:4 注册: 2007-10-05 来自:

叱咤花甲狮

帖子:14337
注册: 2007-03-08
来自:江苏南京

发表于： 2007-10-05 10:46 | 只看楼主 短消息资料

字号：小中大 10楼

引用:

【病毒研究菜鸟的贴子】谁有病毒文件加我QQ79588805
………………

病毒样本不可以随便传播

<<上一主题|下一主题>>

1 / 2 页

跳转页

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-27 13:57 \| 只看楼主短消息资料字号：小中大 1楼关于niu.exe【转贴】孤独更可靠孤独更可靠的分析： 1、释放病毒文件： C:\Windows\system32\niu.exe 18944 字节 C:\Windows\system32\Autorun.inf 159 字节 2、遍历磁盘，尝试在C-Z盘下生成Autorun.inf和niu.exe。 Autorun.inf内容： [AutoRun] open=niu.exe shell\open=打开(&O) shell\open\Command=niu.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=niu.exe 3、连接203.171.233.2**（河南省郑州市景安计算机网络技术有限公司）下载15个木马：（中途死了一只，汗``） C:\WINNT\system32\1.exe C:\WINNT\system32\1.DAT C:\WINNT\system32\2.exe C:\WINNT\system32\xyfini.dll C:\WINNT\system32\xyfpri.dll C:\WINNT\system32\4.exe C:\WINNT\system32\4.DAT C:\WINNT\system32\6.exe C:\WINNT\system32\tlmini.dll C:\WINNT\system32\tlmpri.dll C:\WINNT\system32\7.exe C:\WINNT\system32\7.DAT C:\WINNT\system32\8.exe C:\WINNT\system32\8.DAT C:\WINNT\system32\11.exe C:\WINNT\system32\ztkini.dll C:\WINNT\system32\ztkpri.dll C:\WINNT\system32\13.exe C:\WINNT\system32\zxeini.dll C:\WINNT\system32\zxepri.dll C:\WINNT\system32\TIMHost.dll C:\WINNT\TIMHost.exe 包括魔域、梦幻、完美世界、华夏等``（还有几个不认得是什么游戏的``=。=） 4、下载的木马群比较恶劣，使用Hook技术（WH_CBT）挂钩Explorer，检测下面窗口并尝试点击：瑞星注册表监控提示-- 同意修改确定瑞星卡卡上网安全助手 - IE防漏墙允许执行 IE 执行保护确定允许执行确定允许创建规则跳过(&S) （卡吧的检测窗口）解决方法： http://free.ys168.com/?gudugengkekao 下载冰刃和SREng（自己网上搜索） 1、打开冰刃，设置禁止进线程创建，确定。 2、冰刃“文件”功能，删除： C:\Windows\system32\niu.exe C:\Windows\system32\Autorun.inf C:\WINNT\system32\1.exe C:\WINNT\system32\1.DAT C:\WINNT\system32\2.exe C:\WINNT\system32\xyfini.dll C:\WINNT\system32\xyfpri.dll C:\WINNT\system32\4.exe C:\WINNT\system32\4.DAT C:\WINNT\system32\6.exe C:\WINNT\system32\tlmini.dll C:\WINNT\system32\tlmpri.dll C:\WINNT\system32\7.exe C:\WINNT\system32\7.DAT C:\WINNT\system32\8.exe C:\WINNT\system32\8.DAT C:\WINNT\system32\11.exe C:\WINNT\system32\ztkini.dll C:\WINNT\system32\ztkpri.dll C:\WINNT\system32\13.exe C:\WINNT\system32\zxeini.dll C:\WINNT\system32\zxepri.dll C:\WINNT\system32\TIMHost.dll C:\WINNT\TIMHost.exe 每个分区下的Autorun.inf和niu.exe （注意不要漏了，不然又要重来``） 3、设置冰刃，重启并监视。 4、重启后不要连接运行进程等，直接打开SREng，删除： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <TIMHost><C:\winnt\TIMHost.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{713AF41A-21B1-131B-1BFC-D2A90DF4A2B7}><C:\winnt\system32\xyfpri.dll> [] <{212BC423-3713-224D-3F55-32B35C62B112}><C:\winnt\system32\tlmpri.dll> [] <{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\winnt\system32\ztkpri.dll> [] <{5A65498A-7653-9801-1647-987114AB7F45}><C:\winnt\system32\zxepri.dll> [] [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2007-10-07 00:04:50
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于niu.exe【转贴】孤独更可靠

关于niu.exe【转贴】孤独更可靠

关于niu.exe【转贴】孤独更可靠

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于niu.exe【转贴】孤独更可靠