火绒有随机命名的驱动吗？

显示全部楼层 · 发表于 2013-1-19 14:38:38

本帖最后由小v可于 2013-1-19 14:58 编辑

yDFLFIMRYVBVFYM C:\Windows\system32\DRIVERS\yDFLFIMRYVBVFYM 文件不存在文件没有签名没有厂商

偶然发现的 ~~ 内存加载定位不到文件请问是火绒相关吗？

重启后驱动名称再次改变
C:\Windows\system32\DRIVERS\yPTXTWYDMHPJRMA

y开头后面随机

显示全部楼层 · 发表于 2013-1-19 18:18:06

火绒没有随机命名驱动的

显示全部楼层 · 发表于 2013-1-19 18:37:21

vardyh 发表于 2013-1-19 18:18
火绒没有随机命名驱动的

那就奇怪了 360或者Q管有吗？

显示全部楼层 · 发表于 2013-1-19 18:53:49

小v可发表于 2013-1-19 18:37 那就奇怪了 360或者Q管有吗？

我记得360也没呀，难道是木马？

显示全部楼层 · 发表于 2013-1-19 19:03:43

潘中医发表于 2013-1-19 18:53
我记得360也没呀，难道是木马？

不太可能 PT显示是一个过滤驱动~~ 而且没有提示可疑只是标蓝

显示全部楼层 · 发表于 2013-1-19 19:13:32

小v可发表于 2013-1-19 19:03
不太可能 PT显示是一个过滤驱动~~ 而且没有提示可疑只是标蓝

用火绒剑找到那个驱动，提下内存字符串看看都有些什么，

显示全部楼层 · 发表于 2013-1-19 19:26:53

vardyh 发表于 2013-1-19 19:13
用火绒剑找到那个驱动，提下内存字符串看看都有些什么，

[ANSI] 0x0000004d: !This program cannot be run in DOS mode.
[ANSI] 0x00000360: .text
[ANSI] 0x00000387: h.rdata
[ANSI] 0x000003af: H.data
[ANSI] 0x000003d8: INIT
[ANSI] 0x00000400: .rsrc
[ANSI] 0x00000427: B.reloc
[ANSI] 0x0000048b: Vhvel
[UNICODE] 0x00000386: 栀爮慤慴
[UNICODE] 0x0000049a: 讟藰瓶坁摪遨

显示全部楼层 · 发表于 2013-1-19 19:44:29

本帖最后由十送鸿钧于 2013-1-19 20:27 编辑

我大记得XT有随机命名驱动……

显示全部楼层 · 发表于 2013-1-19 19:49:03

十送鸿钧发表于 2013-1-19 19:44
我大姐XT有随机命名驱动……

这个不是XT的驱动重启后还有

显示全部楼层 · 发表于 2013-1-19 21:10:12

yPTXTWYDMHPJRMA

哈哈,这驱动很眼熟啊...前面六个字母我认识

PowerTool(PT)+Xuetr(XT)+Wsyscheck(WY)...

[讨论] 火绒有随机命名的驱动吗？

本帖子中包含更多资源