注意：带两个ROOTKIT的灰鸽子

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛注意：带两个ROOTKIT的灰鸽子

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-09-09 10:11 \| 只看楼主短消息资料字号：小中大 1楼注意：带两个ROOTKIT的灰鸽子感染系统后创建的文件： C:\windows\system32\cpoiuyk.dll（Rootkit.Win32.Vanti.c，卡巴斯基报） C:\windows\system32\mainxo.sys（Rootkit.Win32.Vanti.b，卡巴斯基报） C:\windows\Windows T1me.exe（Backdoor.Win32.Hupigeon.ed，卡巴斯基报） cpoiuyk.dll插入iexplore.exe进程运行（见附图）。注册表改动：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加 MIANYI 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加 Windows T1me 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\下添加 LEGACY_MIANYI 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\下添加 LEGACY_WINDOWS_T1ME 查杀方法见：http://forum.ikaka.com/topic.asp?board=28&artid=7110935 附件: 文件名:155847200599101614.jpg 下载次数:1 文件类型:image/pjpeg 文件大小: 上传时间:2005-9-9 10:11:40 描述: 2005-11-01 19:10:46
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

还是来晚了快乐黄口狮帖子:191 注册: 2005-09-06 来自:	发表于： 2005-09-09 10:45 \| 短消息资料字号：小中大 2楼为什么不能帮我看看ms-dos.pif怎么清除？我的机子不能用了....只能用冰刃禁止进程创建才能安静会，如果做点别的就会又被攻击，我很郁闷啊！
还是来晚了快乐黄口狮帖子:191 注册: 2005-09-06 来自:

大版主

发表于： 2005-09-09 10:55 | 只看楼主 短消息资料

字号：小中大 3楼

引用:

【还是来晚了的贴子】为什么不能帮我看看ms-dos.pif怎么清除？我的机子不能用了....只能用冰刃禁止进程创建才能安静会，如果做点别的就会又被攻击，我很郁闷啊！
...........................

请把你那个帖子24楼图中所示的任何一个ms-dos.pif打包,发到:baohelin@yahoo.com.cn

帮你看看怎么回事

还是来晚了快乐黄口狮帖子:191 注册: 2005-09-06 来自:	发表于： 2005-09-09 11:04 \| 短消息资料字号：小中大 4楼为什么不能帮我看看ms-dos.pif怎么清除？我的机子不能用了....只能用冰刃禁止进程创建才能安静会，如果做点别的就会又被攻击，我很郁闷啊！
还是来晚了快乐黄口狮帖子:191 注册: 2005-09-06 来自:

CAJINCHEN 初生襁褓狮帖子:375 注册: 2005-07-30 来自:	发表于： 2005-09-09 19:41 \| 短消息资料字号：小中大 7楼 ROOTKIT是新技术,各大AV都要注意.
CAJINCHEN 初生襁褓狮帖子:375 注册: 2005-07-30 来自:

q3zz 初生襁褓狮帖子:289 注册: 2003-10-26 来自:	发表于： 2005-09-09 20:05 \| 短消息资料字号：小中大 8楼明显是个加了个免疫007,HOOK读内存,使瑞星的内存杀毒失效.不过瑞星的技术员实在是勤快,对于007一直没有一个准确的定位,给他们传样本说没问题,把我原来放在看雪的破解版里的DLL文件杀成QQ病毒,真是开眼. 2楼,把.pif的扩展名改成.EXE就明白了.
q3zz 初生襁褓狮帖子:289 注册: 2003-10-26 来自:

康熙来了初生襁褓狮帖子:324 注册: 2005-09-08 来自:	发表于： 2005-09-09 20:17 \| 短消息资料字号：小中大 9楼我的天哪以后不敢上网了
康熙来了初生襁褓狮帖子:324 注册: 2005-09-08 来自:

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-09-09 10:11 \| 只看楼主短消息资料字号：小中大 1楼注意：带两个ROOTKIT的灰鸽子感染系统后创建的文件： C:\windows\system32\cpoiuyk.dll（Rootkit.Win32.Vanti.c，卡巴斯基报） C:\windows\system32\mainxo.sys（Rootkit.Win32.Vanti.b，卡巴斯基报） C:\windows\Windows T1me.exe（Backdoor.Win32.Hupigeon.ed，卡巴斯基报） cpoiuyk.dll插入iexplore.exe进程运行（见附图）。注册表改动：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加 MIANYI 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加 Windows T1me 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\下添加 LEGACY_MIANYI 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\下添加 LEGACY_WINDOWS_T1ME 查杀方法见：http://forum.ikaka.com/topic.asp?board=28&artid=7110935 附件: 文件名:155847200599101614.jpg 下载次数:1 文件类型:image/pjpeg 文件大小: 上传时间:2005-9-9 10:11:40 描述: 2005-11-01 19:10:46
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：