至"之乎者也"-关于xuhuan.exe

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛至"之乎者也"-关于xuhuan.exe

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-09-14 11:46 \| 只看楼主短消息资料字号：小中大 1楼至"之乎者也"-关于xuhuan.exe 原帖地址:http://forum.ikaka.com/topic.asp?board=28&artid=8169265&page=2 在我机里运行后.. 注册表添加 HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR 添加服务 XPROTECTOR 添加服务后立刻被停止.. 生成文件 C:\WINDOWS\system32\drivers\Oreans.sys 只要删除注册表 HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR 删除文件 C:\WINDOWS\system32\drivers\Oreans.sys 就干净了..好象跟你机里的有点不一样.. 样本转交baohe... 运行完后弹出窗口.. 附件: 文件名:6323982006914113834.JPG 下载次数:286 文件类型:image/pjpeg 文件大小: 上传时间:2006-9-14 11:46:39 描述: 2006-09-14 17:00:14
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:	发表于： 2006-09-14 13:01 \| 短消息资料字号：小中大 2楼感谢了，我那个样本是从c:\windows\system32\xuhuan.exe压缩的，而不是SReng里所显示的c:\windows\xuhuan.exe，不知跟这个有没关系。但c:\windows\下没有看到，而隐藏文件打不开，所以没法找到
之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:

Flying1889 初生襁褓狮帖子:1347 注册: 2006-08-26 来自:	发表于： 2006-09-14 13:01 \| 短消息资料字号：小中大 3楼学习一下
Flying1889 初生襁褓狮帖子:1347 注册: 2006-08-26 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-09-14 13:16 \| 只看楼主短消息资料字号：小中大 4楼 [windowservices / windowservices] <C:\WINDOWS\xuhuan.exe><Microsoft Corporation> 我要这个...压缩发送 bin59420@yahoo.com.cn
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:	发表于： 2006-09-14 13:31 \| 短消息资料字号：小中大 5楼不好意思，可能是我没说清楚，现在电脑里的隐藏文件显示不了，在文件夹选项里设置也不行，而且在c:\windows\下搜索xuhuan.exe没有找到（选择了搜索隐藏文件），所以现在没辙，关键问题要先解决隐藏文件不能显示的问题，辛苦了
之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-09-14 14:06 \| 只看楼主短消息资料字号：小中大 6楼 http://free.ys168.com/?mopery 下载不能显示隐藏文件的注册表导入即可..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

快来救命啊啊自信弱冠狮帖子:372 注册: 2006-08-13 来自:妈妈的肚子	发表于： 2006-09-14 14:12 \| 短消息资料字号：小中大 7楼学习了
快来救命啊啊自信弱冠狮帖子:372 注册: 2006-08-13 来自:妈妈的肚子

之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:	发表于： 2006-09-14 15:07 \| 短消息资料字号：小中大 8楼果然有效，c:\windows\xuhuan.exe已找到并发送，劳烦mopery斑竹再看看了，谢谢
之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-14 16:00 | 短消息资料

字号：小中大 9楼

引用:

【mopery的贴子】原帖地址:http://forum.ikaka.com/topic.asp?board=28&artid=8169265&page=2

在我机里运行后..

注册表添加
HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR

添加服务 XPROTECTOR 添加服务后立刻被停止..

生成文件
C:\WINDOWS\system32\drivers\Oreans.sys

只要删除注册表
HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR
删除文件
C:\WINDOWS\system32\drivers\Oreans.sys

就干净了..好象跟你机里的有点不一样..

样本转交baohe...

运行完后弹出窗口..

………………

我观察到的与你说的类似。
只是那个窗口信息是——你没安装弹窗软件，不能运行。之后，蓝屏重启。
重启后，停止那个服务，删除那个.sys，删除其注册表启动项。完事。

westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:	发表于： 2006-09-14 16:04 \| 短消息资料字号：小中大 10楼学习
westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-09-14 11:46 \| 只看楼主短消息资料字号：小中大 1楼至"之乎者也"-关于xuhuan.exe 原帖地址:http://forum.ikaka.com/topic.asp?board=28&artid=8169265&page=2 在我机里运行后.. 注册表添加 HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR 添加服务 XPROTECTOR 添加服务后立刻被停止.. 生成文件 C:\WINDOWS\system32\drivers\Oreans.sys 只要删除注册表 HKLM\SYSTEM\CurrentControlSet\Services\XPROTECTOR 删除文件 C:\WINDOWS\system32\drivers\Oreans.sys 就干净了..好象跟你机里的有点不一样.. 样本转交baohe... 运行完后弹出窗口.. 附件: 文件名:6323982006914113834.JPG 下载次数:286 文件类型:image/pjpeg 文件大小: 上传时间:2006-9-14 11:46:39 描述: 2006-09-14 17:00:14
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 至"之乎者也"-关于xuhuan.exe

至"之乎者也"-关于xuhuan.exe

至"之乎者也"-关于xuhuan.exe

附件:

文件名:6323982006914113834.JPG 下载次数:286 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(5749); 上传时间:2006-9-14 11:46:39 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛至"之乎者也"-关于xuhuan.exe

文件名:6323982006914113834.JPG

下载次数:286

文件类型:image/pjpeg

文件大小:

上传时间:2006-9-14 11:46:39

描述: