只需一步，快速开始
后使用快捷导航
求大家帮忙看一下这个是病毒吗
TA的每日心情难过 20:46签到天数: 1 天[LV.1]初来乍到
马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。
才可以下载或查看，没有帐号？
文件名称：识图切牌器（只支持部分系统）.rarMD5：4105bfeb00da7ae1a8ee8dSha-1：41c29e46f38489eaf4ea90e6b6e44文件大小：1.56MB创建时间： 10:29:35文件类型：RARPEID信息：Not a valid PE file
& && &启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程;结束指定进程;远程注入其他进程;设置文件属性;IE 代理服务器设置;添加开机自启动项;释放DLL到系统目录，并通过修改注册表使DLL自动被加载;设置远程线程上下文;创建进程;创建互斥体;在其他进程中申请内存
危险行为监控
行为描述：结束指定进程
附加信息：LOL切牌助手.exe
行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：%ProgramFiles%\Internet Explorer\IEXPLORE.EXE
行为描述：远程注入其他进程
附加信息：LOL切牌助手.exe
其他行为监控
行为描述：创建进程
附加信息：%system%\drwtsn32.exe
行为描述：设置远程线程上下文
附加信息：%ProgramFiles%\LOL切牌助手.exe
行为描述：释放DLL到系统目录，并通过修改注册表使DLL自动被加载
附加信息：%windir%\zm.dll
行为描述：添加开机自启动项
附加信息：[NULL] - %windir%\zm.dll[NULL] - %windir%\zm.dll[Userinit] - %system%\userinit.exe,,%ProgramFiles%\microsoft\desktoplayer.exe
行为描述：IE 代理服务器设置
附加信息：关闭IE代理服务
行为描述：设置文件属性
附加信息：D:\RECYCLER && HIDED:\RECYCLER\S-6-5-27---38 && HIDE
行为描述：创建互斥体
附加信息：&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_0000061C&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_&&DbgEngEvent_000007EC&&DrWatsonLogProtect&
行为描述：在其他进程中申请内存
附加信息：%ProgramFiles%\LOL切牌助手.exe%system%\drwtsn32.exe
文件操作监控
操作文件MD5文件大小文件路径
新增fb0c00c300bf316%ProgramFiles%\Internet Explorer\\...
新增ebf51c00c5534cdf51ccd298272%AllUsersProfile%\Application Data...
新增e9f16fdcd7dd1eb675dfe72880%AllUsersProfile%\Application Data...
新增ff5e1f27193ce51eec8bef56320%ProgramFiles%\Microsoft\\DesktopL...
新增44a91eaae5ffd12945D:\\autorun.inf
新增ff5e1f27193ce51eec8bef56320d:\RECYCLER\S-6-5-27--21...
新增f12e794beb5fbdda1e7384114176%ProgramFiles%\\LOL切牌助手Srv.exe
新增c578b6820bda7c6e5ffc823296%windir%\\ZM.DLL
修改acdecdbab6c819200%commonprogramfiles%\InstallShield...
修改acdecdbab6c819200%commonprogramfiles%\InstallShield...
修改9136d39bcb73b3ab2b542d270b349ea6101376C:\\osrloader.exe
修改cda3f5383ecfad74a671d07458752%commonprogramfiles%\InstallShield...
修改cd645cf4e8d045eb7cec8360448%commonprogramfiles%\InstallShield...
修改9feed394b87ef8cd270f27245760%commonprogramfiles%\InstallShield...
修改8bf184c11d7718ece9f8c0ce12e91066327680%commonprogramfiles%\InstallShield...
修改9bcc073fe26683008%commonprogramfiles%\microsoft sha...
修改2229f59ecc68e25da7c7aa14d00f5a30253952%commonprogramfiles%\InstallShield...
修改4efaa20abd222cb62fee27f0593920%commonprogramfiles%\system\ole db...
进程操作监控
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 280 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 248 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 260 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 336 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 296 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 424 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 256 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 252 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 244 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 288 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 540 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 268 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 272 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 284 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 264 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 304 -g
创建进程：无
启动参数：%system%\drwtsn32 -p 192 -e 276 -g
新增删除修改
注册表监控
HKEY_CLASSES_ROOT\\CLSID\{CBD-4FFF-9C63-56F2D0770214}[(NULL)] = [dm.dmsoft]
HKEY_CLASSES_ROOT\\CLSID\{CBD-4FFF-9C63-56F2D0770214}\InprocServe...[(NULL)] = [C:\\WINDOWS\\zm.dll]
[ThreadingModel] = [Apartment]
HKEY_CLASSES_ROOT\\CLSID\{CBD-4FFF-9C63-56F2D0770214}\ProgID[(NULL)] = [dm.dmsoft]
HKEY_CLASSES_ROOT\\dm.dmsoft[(NULL)] = [dm.dmsoft]
HKEY_CLASSES_ROOT\\dm.dmsoft\CLSID[(NULL)] = [{CBD-4FFF-9C63-56F2D0770214}]
HKEY_CLASSES_ROOT\\dm.dmsoft\CurVer[(NULL)] = [dm.dmsoft]
HKEY_CLASSES_ROOT\\Interface\{F3F54BC2-D6D1-4A85-B943-16287ECEA64C}[(NULL)] = [Idmsoft]
HKEY_CLASSES_ROOT\\Interface\{F3F54BC2-D6D1-4A85-B943-16287ECEA64C}\ProxySt...[(NULL)] = [{0-}]
HKEY_CLASSES_ROOT\\Interface\{F3F54BC2-D6D1-4A85-B943-16287ECEA64C}\ProxySt...[(NULL)] = [{0-}]
HKEY_CLASSES_ROOT\\Interface\{F3F54BC2-D6D1-4A85-B943-16287ECEA64C}\TypeLib[(NULL)] = [{84288AAD-BA02-4EF2-85EC-3FAD4D11354D}]
[Version] = [1.0]
HKEY_CLASSES_ROOT\\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4D11354D}HKEY_CLASSES_ROOT\\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4D11354D}\1.0[(NULL)] = [Dm]
HKEY_CLASSES_ROOT\\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4D11354D}\1.0\0HKEY_CLASSES_ROOT\\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4D11354D}\1.0\0\win...[(NULL)] = [C:\\WINDOWS\\zm.dll]
HKEY_CLASSES_ROOT\\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4D11354D}\1.0\FLAGS[(NULL)] = [0]
HKEY_CLASSES_ROOT\\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4D11354D}\1.0\HELPD...[(NULL)] = [C:\\WINDOWS\\]
HKEY_CURRENT_USER\\Software\Microsoft\Multimedia\DrawDib[vga.drv (BGR 0)] = [31,31,31,31]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\CLSID\{CBD-4FFF-9C63-56F2D07...[(NULL)] = [dm.dmsoft]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\CLSID\{CBD-4FFF-9C63-56F2D07...[ThreadingModel] = [Apartment]
[(NULL)] = [C:\\WINDOWS\\zm.dll]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\CLSID\{CBD-4FFF-9C63-56F2D07...[(NULL)] = [dm.dmsoft]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\dm.dmsoft[(NULL)] = [dm.dmsoft]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\dm.dmsoft\CLSID[(NULL)] = [{CBD-4FFF-9C63-56F2D0770214}]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\dm.dmsoft\CurVer[(NULL)] = [dm.dmsoft]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\Interface\{F3F54BC2-D6D1-4A85-B943-162...[(NULL)] = [Idmsoft]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\Interface\{F3F54BC2-D6D1-4A85-B943-162...[(NULL)] = [{0-}]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\Interface\{F3F54BC2-D6D1-4A85-B943-162...[(NULL)] = [{0-}]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\Interface\{F3F54BC2-D6D1-4A85-B943-162...[Version] = [1.0]
[(NULL)] = [{84288AAD-BA02-4EF2-85EC-3FAD4D11354D}]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4...HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4...[(NULL)] = [Dm]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4...HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4...[(NULL)] = [C:\\WINDOWS\\zm.dll]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4...[(NULL)] = [0]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\TypeLib\{84288AAD-BA02-4EF2-85EC-3FAD4...[(NULL)] = [C:\\WINDOWS\\]
HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\DrWatson[NumberOfCrashes] = [0x]
HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[Userinit] = [c:\\windows\\system32\\userinit.exe,,c:\\program files\\microsoft\\desktoplayer.exe]
逛了这许久，何不进去瞧瞧？
关注我们：}