关于：中国网络游戏木马外挂黑客技术大全【分享】

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于：中国网络游戏木马外挂黑客技术大全【分享】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

关于：中国网络游戏木马外挂黑客技术大全【分享】

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-07 14:02 \| 只看楼主短消息资料字号：小中大 1楼关于：中国网络游戏木马外挂黑客技术大全【分享】这个病毒中了以后，日志中不正常的有： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <svchost><C:\WINDOWS\system32\svchost.com> [NOBODY] Autorun.inf [C:\] [AUTORUN] open=SFF.exe e shellexecute=SFF.exe e shell\Auto\command=SFF.exe e shell=Auto [D:\] [AUTORUN] open=SFF.exe e shellexecute=SFF.exe e shell\Auto\command=SFF.exe e shell=Auto [E:\] [AUTORUN] open=SFF.exe e shellexecute=SFF.exe e shell\Auto\command=SFF.exe e shell=Auto [F:\] [AUTORUN] open=SFF.exe e shellexecute=SFF.exe e shell\Auto\command=SFF.exe e shell=Auto 还有用卡卡上网助手可以看到：在注册表HKEY_CURRENT_USER\Control Panel\Desktop\Scrnasve.exe 强奸了系统程序： C:\WINDOWS\SYSTEM32\SSMYPICS.SCR 到C:\WINDOWS\SYSTEM32\SVCHOST.COM 中毒后在正常模式下，打开我的电脑——工具——文件夹选项——显示（这个时候窗口被强制关闭！）用冰刃删除Autorun.inf和SFF.exe 立即复制回来。（冰刃禁止了进程创建，而且事先结束了进程SVCHOST.COM 仿佛很牛~~~ 解决方法：只要进入安全模式（开机按F8）删除 C:\WINDOWS\SYSTEM32\SVCHOST.COM 每个盘下的SFF.exe和 Autorun.inf 清除注册表启动项 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <svchost><C:\WINDOWS\system32\svchost.com> [NOBODY] 删除登陆通知项 HKEY_CURRENT_USER\Control Panel\Desktop\Scrnasve.exe C:\WINDOWS\SYSTEM32\SSMYPICS.SCR 重起问题解决 [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2007-09-07 17:51:26.860000000
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	分享到：

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-09-07 14:20 \| 短消息资料字号：小中大 2楼麻烦能把样本发给我么谢谢 newcenturymoon1986@yahoo.com.cn 加密123
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

锋芒艾服狮

帖子:1680
注册: 2007-07-07
来自:

发表于： 2007-09-07 14:22 | 短消息资料

字号：小中大 3楼

引用:

【newcenturymoon的贴子】麻烦能把样本发给我么谢谢
newcenturymoon1986@yahoo.com.cn
加密123
………………

也给我发一个,qcqyt1983@163.com
谢谢

叱咤花甲狮

帖子:14337
注册: 2007-03-08
来自:江苏南京

发表于： 2007-09-07 14:24 | 只看楼主 短消息资料

字号：小中大 4楼

引用:

【newcenturymoon的贴子】麻烦能把样本发给我么谢谢
newcenturymoon1986@yahoo.com.cn
加密123
………………

阳光大大，样本已发，请查收~~~不必客气

彩虹岛快乐黄口狮帖子:125 注册: 2004-02-12 来自:	发表于： 2007-09-07 14:32 \| 短消息资料字号：小中大 5楼也发我一个,john1018_1983_1@hotmail.com 加密123, 再问一下,虚拟器上能做吗? 实机太危险
彩虹岛快乐黄口狮帖子:125 注册: 2004-02-12 来自:

叱咤花甲狮

帖子:14337
注册: 2007-03-08
来自:江苏南京

发表于： 2007-09-07 14:38 | 只看楼主 短消息资料

字号：小中大 6楼

引用:

【彩虹岛的贴子】也发我一个,john1018_1983_1@hotmail.com
加密123,
再问一下,虚拟器上能做吗?
实机太危险
………………

样本已发了，请查收~~
这个东西我就是实机测试的，问题不大
安全起见还是虚拟吧，呵呵

叱咤花甲狮

帖子:14337
注册: 2007-03-08
来自:江苏南京

发表于： 2007-09-07 14:38 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【没有梦想的男人的贴子】
也给我发一个,qcqyt1983@163.com
谢谢
………………

样本已发密码1234
请查收~~不客气

HOSTのS 飘泊而立狮帖子:784 注册: 2007-06-10 来自:	发表于： 2007-09-07 14:52 \| 短消息资料字号：小中大 8楼麻烦也发下等下回来也玩玩邮箱还记得吗
HOSTのS 飘泊而立狮帖子:784 注册: 2007-06-10 来自:

叱咤花甲狮

帖子:14337
注册: 2007-03-08
来自:江苏南京

发表于： 2007-09-07 15:04 | 只看楼主 短消息资料

字号：小中大 9楼

引用:

【HOSTのS的贴子】麻烦也发下等下回来也玩玩邮箱还记得吗
………………

不记得了，你个家伙，有好玩的样本也发给兄弟几个嘛

飘泊而立狮

帖子:784
注册: 2007-06-10
来自:

发表于： 2007-09-07 16:26 | 短消息资料

字号：小中大 10楼

引用:

【日不懂啊的贴子】
不记得了，你个家伙，有好玩的样本也发给兄弟几个嘛
………………

我要有时间找样本就不找你要了现在是忙里偷闲玩一下
hostsqw@163.com

<<上一主题|下一主题>>

1 / 2 页

跳转页

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-09-07 14:02 \| 只看楼主短消息资料字号：小中大 1楼关于：中国网络游戏木马外挂黑客技术大全【分享】这个病毒中了以后，日志中不正常的有： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <svchost><C:\WINDOWS\system32\svchost.com> [NOBODY] Autorun.inf [C:\] [AUTORUN] open=SFF.exe e shellexecute=SFF.exe e shell\Auto\command=SFF.exe e shell=Auto [D:\] [AUTORUN] open=SFF.exe e shellexecute=SFF.exe e shell\Auto\command=SFF.exe e shell=Auto [E:\] [AUTORUN] open=SFF.exe e shellexecute=SFF.exe e shell\Auto\command=SFF.exe e shell=Auto [F:\] [AUTORUN] open=SFF.exe e shellexecute=SFF.exe e shell\Auto\command=SFF.exe e shell=Auto 还有用卡卡上网助手可以看到：在注册表HKEY_CURRENT_USER\Control Panel\Desktop\Scrnasve.exe 强奸了系统程序： C:\WINDOWS\SYSTEM32\SSMYPICS.SCR 到C:\WINDOWS\SYSTEM32\SVCHOST.COM 中毒后在正常模式下，打开我的电脑——工具——文件夹选项——显示（这个时候窗口被强制关闭！）用冰刃删除Autorun.inf和SFF.exe 立即复制回来。（冰刃禁止了进程创建，而且事先结束了进程SVCHOST.COM 仿佛很牛~~~ 解决方法：只要进入安全模式（开机按F8）删除 C:\WINDOWS\SYSTEM32\SVCHOST.COM 每个盘下的SFF.exe和 Autorun.inf 清除注册表启动项 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <svchost><C:\WINDOWS\system32\svchost.com> [NOBODY] 删除登陆通知项 HKEY_CURRENT_USER\Control Panel\Desktop\Scrnasve.exe C:\WINDOWS\SYSTEM32\SSMYPICS.SCR 重起问题解决 [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2007-09-07 17:51:26.860000000
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于：中国网络游戏木马外挂黑客技术大全 【分享】

关于：中国网络游戏木马外挂黑客技术大全 【分享】

关于：中国网络游戏木马外挂黑客技术大全 【分享】

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于：中国网络游戏木马外挂黑客技术大全【分享】

关于：中国网络游戏木马外挂黑客技术大全【分享】

关于：中国网络游戏木马外挂黑客技术大全【分享】