哈哈，卖样本啦~~有兴趣的来啊【分享】

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛哈哈，卖样本啦~~有兴趣的来啊【分享】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-05 15:54 \| 显示全部短消息资料字号：小中大 1楼哈哈，卖样本啦~~有兴趣的来啊【分享】从卡友那搞来个样本：io.pif 先说下运行的环境：开着瑞星监控防火墙 360保护卡卡助手防护运行病毒以后，出现的状况监控变红伞跳出QQ的登陆修改新创建文件的日期2099年用SRENG扫描日志不正常项目如下：注册表： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <><C:\Program Files\Common Files\Services\svchost.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><kvmxbma.dll> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{2D47B341-43DF-4563-753F-345FFA3157D2}><C:\WINDOWS\system32\kvmxbma.dll> [] <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> [] <{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll> [] <{1C87A354-ABC3-DEDE-FF33-3213FD7447C1}><C:\WINDOWS\system32\kvdxama.dll> [] <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys> [] 进程： [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ] [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ] [C:\WINDOWS\system32\rsztapm.dll] [N/A, ] [C:\WINDOWS\system32\kvdxama.dll] [N/A, ] [C:\WINDOWS\winow.dll] [N/A, ] [C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys] [N/A, ] Autorun.inf [C:\] [AutoRun] open=IO.pif shellexecute=IO.pif shell\\Auto\\command=IO.pif [D:\] [AutoRun] open=IO.pif shellexecute=IO.pif shell\\Auto\\command=IO.pif [E:\] [AutoRun] open=IO.pif shellexecute=IO.pif shell\\Auto\\command=IO.pif [F:\] [AutoRun] open=IO.pif shellexecute=IO.pif shell\\Auto\\command=IO.pif 打开冰刃提示，服务协议启动失败，还好可以打开处理：在正常模式下，用冰刃禁止进程创建，删除 IO.pif Autorun.inf 但奇怪的猫腻出来了 [C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys] [N/A, ] 这个东西没有，代替的东西是： [C:\Program Files\Internet Explorer\PLUGINS\Sl3f1Ai5.exe（是魔兽世界的图标，嘿嘿，玩WOW的朋友要注意哟） [C:\WINDOWS\winow.dll] [N/A, ] 这个可以删除，但多了个 [C:\WINDOWS\winow.exe 而且除了找到 [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ] [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ] [C:\WINDOWS\system32\rsztapm.dll] [N/A, ] [C:\WINDOWS\system32\kvdxama.dll] [N/A, ] 之外，还看到 C:\WINDOWS\system32\kvdxais.exe C:\WINDOWS\system32\kvmxbis.exe C:\WINDOWS\system32\rsmyasp.exe C:\WINDOWS\system32\rsztasp.exe （冰刃删除之）之后是改名 [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ] [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ] [C:\WINDOWS\system32\rsztapm.dll] [N/A, ] [C:\WINDOWS\system32\kvdxama.dll] [N/A, ] 重起，删除改了名字的 [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ] [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ] [C:\WINDOWS\system32\rsztapm.dll] [N/A, ] [C:\WINDOWS\system32\kvdxama.dll] [N/A, ] 打开SRENG 删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <><C:\Program Files\Common Files\Services\svchost.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{2D47B341-43DF-4563-753F-345FFA3157D2}><C:\WINDOWS\system32\kvmxbma.dll> [] <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> [] <{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll> [] <{1C87A354-ABC3-DEDE-FF33-3213FD7447C1}><C:\WINDOWS\system32\kvdxama.dll> [] <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys> [] 清空 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><kvmxbma.dll> [] 搞定~~ [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2007-09-15 18:13:01
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	分享到：

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-05 15:58 \| 显示全部短消息资料字号：小中大 2楼不是太好玩就是了只是跟之前加载 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> [] 这个的***pri.dll不太一样 [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ] [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ] [C:\WINDOWS\system32\rsztapm.dll] [N/A, ] [C:\WINDOWS\system32\kvdxama.dll] [N/A, ] 之外，还看到 C:\WINDOWS\system32\kvdxais.exe C:\WINDOWS\system32\kvmxbis.exe C:\WINDOWS\system32\rsmyasp.exe C:\WINDOWS\system32\rsztasp.exe DLL EXE的名字不一样，仔细看，呵呵
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京

叱咤花甲狮

帖子:14337
注册: 2007-03-08
来自:江苏南京

发表于： 2007-09-05 16:04 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【HOSTのS的贴子】偶没钱穷光蛋一个但也想要样本
………………

呵呵，这个感觉不是太好玩~~~
那个卡友当时中的不止这个，还有
C:\WINDOWS\system32\inetres.exe
那真的很热闹ING
你的邮箱地址我忘记了

叱咤花甲狮

帖子:14337
注册: 2007-03-08
来自:江苏南京

发表于： 2007-09-05 16:09 | 显示全部 短消息资料

字号：小中大 4楼

引用:

【HOSTのS的贴子】hostsqw@163.com
如果再忘的话..... 我再发.....
………………

偶错了

中午打乒乓把小腰扭了，那叫个疼啊，NND
闪了，回家睡觉，哈哈

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-05 18:01 \| 显示全部短消息资料字号：小中大 5楼测试的结果有什么不同吗？
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-15 17:59 \| 显示全部短消息资料字号：小中大 6楼样本好象被08瑞星杀掉了... 在压缩包里的记得不太清楚了周1我上班看看,不知道在不在了,在的话,都发给大家
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京

<<上一主题|下一主题>>

1 / 1 页

跳转页

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-05 15:54 \| 显示全部短消息资料字号：小中大 1楼哈哈，卖样本啦~~有兴趣的来啊【分享】从卡友那搞来个样本：io.pif 先说下运行的环境：开着瑞星监控防火墙 360保护卡卡助手防护运行病毒以后，出现的状况监控变红伞跳出QQ的登陆修改新创建文件的日期2099年用SRENG扫描日志不正常项目如下：注册表： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <><C:\Program Files\Common Files\Services\svchost.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><kvmxbma.dll> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{2D47B341-43DF-4563-753F-345FFA3157D2}><C:\WINDOWS\system32\kvmxbma.dll> [] <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> [] <{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll> [] <{1C87A354-ABC3-DEDE-FF33-3213FD7447C1}><C:\WINDOWS\system32\kvdxama.dll> [] <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys> [] 进程： [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ] [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ] [C:\WINDOWS\system32\rsztapm.dll] [N/A, ] [C:\WINDOWS\system32\kvdxama.dll] [N/A, ] [C:\WINDOWS\winow.dll] [N/A, ] [C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys] [N/A, ] Autorun.inf [C:\] [AutoRun] open=IO.pif shellexecute=IO.pif shell\\Auto\\command=IO.pif [D:\] [AutoRun] open=IO.pif shellexecute=IO.pif shell\\Auto\\command=IO.pif [E:\] [AutoRun] open=IO.pif shellexecute=IO.pif shell\\Auto\\command=IO.pif [F:\] [AutoRun] open=IO.pif shellexecute=IO.pif shell\\Auto\\command=IO.pif 打开冰刃提示，服务协议启动失败，还好可以打开处理：在正常模式下，用冰刃禁止进程创建，删除 IO.pif Autorun.inf 但奇怪的猫腻出来了 [C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys] [N/A, ] 这个东西没有，代替的东西是： [C:\Program Files\Internet Explorer\PLUGINS\Sl3f1Ai5.exe（是魔兽世界的图标，嘿嘿，玩WOW的朋友要注意哟） [C:\WINDOWS\winow.dll] [N/A, ] 这个可以删除，但多了个 [C:\WINDOWS\winow.exe 而且除了找到 [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ] [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ] [C:\WINDOWS\system32\rsztapm.dll] [N/A, ] [C:\WINDOWS\system32\kvdxama.dll] [N/A, ] 之外，还看到 C:\WINDOWS\system32\kvdxais.exe C:\WINDOWS\system32\kvmxbis.exe C:\WINDOWS\system32\rsmyasp.exe C:\WINDOWS\system32\rsztasp.exe （冰刃删除之）之后是改名 [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ] [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ] [C:\WINDOWS\system32\rsztapm.dll] [N/A, ] [C:\WINDOWS\system32\kvdxama.dll] [N/A, ] 重起，删除改了名字的 [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ] [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ] [C:\WINDOWS\system32\rsztapm.dll] [N/A, ] [C:\WINDOWS\system32\kvdxama.dll] [N/A, ] 打开SRENG 删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <><C:\Program Files\Common Files\Services\svchost.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{2D47B341-43DF-4563-753F-345FFA3157D2}><C:\WINDOWS\system32\kvmxbma.dll> [] <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> [] <{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll> [] <{1C87A354-ABC3-DEDE-FF33-3213FD7447C1}><C:\WINDOWS\system32\kvdxama.dll> [] <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys> [] 清空 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><kvmxbma.dll> [] 搞定~~ [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2007-09-15 18:13:01
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 哈哈，卖样本啦~~有兴趣的来啊【分享】

哈哈，卖样本啦~~有兴趣的来啊【分享】

哈哈，卖样本啦~~有兴趣的来啊【分享】

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛哈哈，卖样本啦~~有兴趣的来啊【分享】