mplay.bat的查杀流程

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 mplay.bat的查杀流程

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 2 页

跳转页

锋芒艾服狮

帖子:1342
注册: 2003-12-15
来自:

发表于： 2007-01-03 11:07 | 短消息资料

字号：小中大 11楼

引用:

【baohe的贴子】1、删除启动项
………………

我删除，说将阻止用户登陆

锋芒艾服狮

帖子:1342
注册: 2003-12-15
来自:

发表于： 2007-01-03 12:07 | 短消息资料

字号：小中大 12楼

引用:

【轩辕小聪的贴子】这东东，应该会自我更新的。061209就是它的对应版本。

我新年之际刚好拿到新样本，不过这次是mplay.com。
我拿到的这个还会修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
AutoRun键的值修改为d:\mplay.com
这样一运行CMD的同时就会运行mplay.com
另外，样本是Delphi写的，呵呵。
这东西会尝试结束KV进程，绕过瑞星的IE执行保护和卡巴的主动防御提示。

更多的分析见我的blog文章
http://hi.baidu.com/yicong2007/blog/item/bc46c13f51a821c27c1e716f.html

PS：刚拿到的时候就觉得眼熟，原来是猫叔分析过，呵呵。
………………

我是看了你的博客文章才弄好的（修改了注册表），谢谢你！要是照楼主删除，提出警告会阻止用户登陆，还是有点害怕无法继续，新手都不肯大胆尝试，我也是认为是全部删除键值了。如果删除没有危险，楼主应该告诉大家。

高歌猛进初生襁褓狮帖子:2377 注册: 2006-10-09 来自:	发表于： 2007-01-03 12:31 \| 短消息资料字号：小中大 13楼这东东最近闹得挺欢
高歌猛进初生襁褓狮帖子:2377 注册: 2006-10-09 来自:

kdyak47 初生襁褓狮帖子:6 注册: 2007-01-02 来自:	发表于： 2007-01-03 12:48 \| 短消息资料字号：小中大 14楼我中的是mpaly.com,昨晚弄了一个晚上才弄好。
kdyak47 初生襁褓狮帖子:6 注册: 2007-01-02 来自:

卡卡技术团队

帖子:8368
注册: 2006-01-09
来自:

发表于： 2007-01-03 18:24 | 短消息资料

字号：小中大 15楼

引用:

【难得清醒的贴子】
我是看了你的博客文章才弄好的（修改了注册表），谢谢你！要是照楼主删除，提出警告会阻止用户登陆，还是有点害怕无法继续，新手都不肯大胆尝试，我也是认为是全部删除键值了。如果删除没有危险，楼主应该告诉大家。
………………

Autoruns的显示和SREng等有所不同。

用Autoruns，隐藏了微软项（Hide Microsoft Entries）之后，显示的userinit项多出来的项目可以直接删除。

而SREng则会显示：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\Userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061209.dll start> [N/A]
这一项目，就必须双击后把值中的“C:\WINDOWS\system32\Userinit.exe,”之后的部分删除。

<<上一主题|下一主题>>

2 / 2 页

跳转页