关于egro.exe

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于egro.exe

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-04-05 10:57 \| 只看楼主短消息资料字号：小中大 1楼关于egro.exe 此毒样本由“流星陨落”发在了“版主之家”http://forum.ikaka.com/topic.asp?board=38&artid=8441909 运行这个egro.exe样本后，释放的文件见图1。除此之外，IE临时文件夹中还有很多。这个毒添加的加载项比较特殊： HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon userinit（指向c:\windows\system32\mgmrwmrv.exe，见图2）。 SRENG、AUTORUNS、ICESWORD等均扫不到这个怪怪的启动项。有点儿意思。此外，此毒运行后不停的反复写HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr"=dword:00000001（禁用任务管理器），没完没了。咱什么都不做。先试试用IceSword能否删除HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit。结果————删掉了。而且病毒浑然不知此userinit键值被用户删了。汗！重启系统看看。重启后，再次展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\，userinit键值不见了。汗！关机前也不知道回写一下。菜！彻底删除HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon。接下来。删除图1所示的病毒文件，清空IE临时文件夹。完事。病毒写入的其它注册表垃圾用TuneUp清理一下，结束。图1 [用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn) 附件: 文件名:155847200845104502.jpg 下载次数:207 文件类型:image/pjpeg 文件大小: 上传时间:2008-4-5 10:57:12 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2008-04-07 17:23:04.497000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-04-05 10:57 \| 只看楼主短消息资料字号：小中大 2楼图2 附件: 文件名:155847200845104524.jpg 下载次数:213 文件类型:image/pjpeg 文件大小: 上传时间:2008-4-5 10:57:34 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-04-05 11:18 \| 短消息资料字号：小中大 3楼又一个无聊的毒。网络求助中最不好折腾的。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

wjzdw 特邀体验者帖子:357 注册: 2007-02-24 来自:	发表于： 2008-04-05 12:54 \| 短消息资料字号：小中大 4楼没突破瑞星吧....昨天刚刚实机测试这家伙啊 ..
wjzdw 特邀体验者帖子:357 注册: 2007-02-24 来自:

小灯自信弱冠狮帖子:467 注册: 2007-07-12 来自:极遥孤岛	发表于： 2008-04-05 16:43 \| 短消息资料字号：小中大 5楼这个毒好无聊！ PS：有些工具应该增加对注册表的抑制再生功能。
小灯自信弱冠狮帖子:467 注册: 2007-07-12 来自:极遥孤岛

秋叶濛濛飘泊而立狮帖子:638 注册: 2007-03-08 来自:	发表于： 2008-04-05 17:20 \| 短消息资料字号：小中大 6楼 SRENG、AUTORUNS、ICESWORD等均扫不到这个怪怪的启动项这却是为何
秋叶濛濛飘泊而立狮帖子:638 注册: 2007-03-08 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2008-04-05 18:09 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【秋叶濛濛的贴子】SRENG、AUTORUNS、ICESWORD等均扫不到这个怪怪的启动项

这却是为何
………………

因为病毒写入的这个winlogon键在HKCU分支下。正常的HKCU分支下并无winlogon键（此键位于HKLM分支）。

飘泊而立狮

帖子:638
注册: 2007-03-08
来自:

发表于： 2008-04-05 19:01 | 短消息资料

字号：小中大 8楼

引用:

【baohe的贴子】
因为病毒写入的这个winlogon键在HKCU分支下。正常的HKCU分支下并无winlogon键（此键位于HKLM分支）。
………………

学习了感谢猫叔

sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方	发表于： 2008-04-06 04:43 \| 短消息资料字号：小中大 9楼【回复“天月来了”的帖子】觉得也是跟着我叔学习了!
sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方

tjcum210210 卡卡反病毒小组帖子:1071 注册: 2006-01-16 来自:清新阳光家附近	发表于： 2008-04-06 14:39 \| 短消息资料字号：小中大 10楼这个…… 有没有Tune up注册码阿
tjcum210210 卡卡反病毒小组帖子:1071 注册: 2006-01-16 来自:清新阳光家附近

<<上一主题|下一主题>>

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-04-05 10:57 \| 只看楼主短消息资料字号：小中大 1楼关于egro.exe 此毒样本由“流星陨落”发在了“版主之家”http://forum.ikaka.com/topic.asp?board=38&artid=8441909 运行这个egro.exe样本后，释放的文件见图1。除此之外，IE临时文件夹中还有很多。这个毒添加的加载项比较特殊： HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon userinit（指向c:\windows\system32\mgmrwmrv.exe，见图2）。 SRENG、AUTORUNS、ICESWORD等均扫不到这个怪怪的启动项。有点儿意思。此外，此毒运行后不停的反复写HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr"=dword:00000001（禁用任务管理器），没完没了。咱什么都不做。先试试用IceSword能否删除HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit。结果————删掉了。而且病毒浑然不知此userinit键值被用户删了。汗！重启系统看看。重启后，再次展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\，userinit键值不见了。汗！关机前也不知道回写一下。菜！彻底删除HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon。接下来。删除图1所示的病毒文件，清空IE临时文件夹。完事。病毒写入的其它注册表垃圾用TuneUp清理一下，结束。图1 [用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn) 附件: 文件名:155847200845104502.jpg 下载次数:207 文件类型:image/pjpeg 文件大小: 上传时间:2008-4-5 10:57:12 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2008-04-07 17:23:04.497000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于egro.exe

关于egro.exe

关于egro.exe

附件:

文件名:155847200845104502.jpg 下载次数:207 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(94135); 上传时间:2008-4-5 10:57:12 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:155847200845104524.jpg 下载次数:213 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(78332); 上传时间:2008-4-5 10:57:34 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于egro.exe

文件名:155847200845104502.jpg

下载次数:207

文件类型:image/pjpeg

文件大小:

上传时间:2008-4-5 10:57:12

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:155847200845104524.jpg

下载次数:213

文件类型:image/pjpeg

文件大小:

上传时间:2008-4-5 10:57:34

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01