[伸手党回馈社会]双击党和扫描党都来看看，请自备虚拟机

AnonymousM

抓了一个2007-2009的老流氓，略叼     VT结果如下：
CMC                Packed.Win32.Obfuscated.10!O           1.1.0.977           20150413

Symantec           WS.Reputation.1                           20141.2.0.56           20150413

Antiy-AVL        Trojan/Win32.SGeneric                   1.0.0.1           20150413

其余全过

东西有点大，走度盘了。链接: http://pan.baidu.com/s/1qWuSCBa 密码: 3n5r 解压密码123

强烈建议双击党在虚拟机/影子系统里运行，因为感染注册表后貌似进行映像劫持，我不确定杀软能否成功修复。专杀工具和其他.exe一样直接没法运行

玩脱了本人概不负责哈

该样本要先注册，然后感染注册表的路径为[HKEY_CURRENT_USER\Software\Classes]。我把被感染的那部分主键导出为.reg了，都在度盘里。你们也可以看看

另外，火绒过了，下面上SSF的截图

yfdyh000

很多年前遇到过这个坑，记得还是XP时代。还记得当时是手动将regedt32.exe改成com再将exe关联改回来的。
应该不是病毒行为，是改文件关联给改挂了的bug。不知道是哪个环节出的问题，是不是该软件的正式版。这个汉化版流传挺广的。

imcw

火绒双击呢？

胖福

双击过诺顿！

XywCloud

文件安全。
注册表内容就是这个玩意修改文件关联的部分，这个修改是可以在程序内逆向进行的（工具——设置——外壳整合——编辑文件关联）。

狐狸糊涂

说得我不敢玩了

请叫我德玛西亚

路过  解压咖啡秒

skyboybone

金山kill

学雷锋做人

360安全卫士(关伞)：安全

FD：木马

AnonymousM

学雷锋做人 发表于 2015-4-16 12:35
360安全卫士(关伞)：安全

FD：木马

果然。。。。不晓得这个老毒为何这么叼

，就一个.

狐狸糊涂 发表于 2015-4-16 08:20
说得我不敢玩了

BD拦截？