瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于:中国网络游戏木马外挂黑客技术大全 【分享】

1   1  /  1  页   跳转

关于:中国网络游戏木马外挂黑客技术大全 【分享】

收藏
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-09-07 14:02 | 显示全部 短消息 资料
字号: 1楼

关于:中国网络游戏木马外挂黑客技术大全 【分享】

这个病毒中了以后,日志中不正常的有:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\WINDOWS\system32\svchost.com>  [NOBODY]

Autorun.inf
[C:\]
[AUTORUN]
open=SFF.exe e
shellexecute=SFF.exe e
shell\Auto\command=SFF.exe e
shell=Auto
[D:\]
[AUTORUN]
open=SFF.exe e
shellexecute=SFF.exe e
shell\Auto\command=SFF.exe e
shell=Auto
[E:\]
[AUTORUN]
open=SFF.exe e
shellexecute=SFF.exe e
shell\Auto\command=SFF.exe e
shell=Auto
[F:\]
[AUTORUN]
open=SFF.exe e
shellexecute=SFF.exe e
shell\Auto\command=SFF.exe e
shell=Auto

还有用卡卡上网助手可以看到:
在注册表HKEY_CURRENT_USER\Control Panel\Desktop\Scrnasve.exe
强奸了系统程序:
C:\WINDOWS\SYSTEM32\SSMYPICS.SCR  到C:\WINDOWS\SYSTEM32\SVCHOST.COM

中毒后在正常模式下,打开我的电脑——工具——文件夹选项——显示(这个时候窗口被强制关闭!)
用冰刃删除Autorun.inf和SFF.exe 立即复制回来。(冰刃禁止了进程创建,而且事先结束了进程SVCHOST.COM
仿佛很牛~~~

解决方法:
只要进入安全模式(开机按F8)
删除
C:\WINDOWS\SYSTEM32\SVCHOST.COM
每个盘下的SFF.exe和 Autorun.inf
清除注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\WINDOWS\system32\svchost.com>  [NOBODY]
删除登陆通知项
HKEY_CURRENT_USER\Control Panel\Desktop\Scrnasve.exe
C:\WINDOWS\SYSTEM32\SSMYPICS.SCR 

重起 问题解决



[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑2007-09-07 17:51:26.860000000
分享到:
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-09-07 14:24 | 显示全部 短消息 资料
字号: 2楼

引用:
【newcenturymoon的贴子】麻烦能把 样本 发给我么 谢谢
newcenturymoon1986@yahoo.com.cn
加密123
………………


阳光大大,样本已发,请查收~~~不必客气
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-09-07 14:38 | 显示全部 短消息 资料
字号: 3楼

引用:
【彩虹岛的贴子】也发我一个,john1018_1983_1@hotmail.com
加密123,
再问一下,虚拟器上能做吗?
实机太危险
………………


样本已发了,请查收~~
这个东西我就是实机测试的,问题不大
安全起见还是虚拟吧,呵呵
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-09-07 14:38 | 显示全部 短消息 资料
字号: 4楼

引用:
【没有梦想的男人的贴子】
也给我发一个,qcqyt1983@163.com
谢谢
………………


样本已发密码1234
请查收~~不客气
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-09-07 15:04 | 显示全部 短消息 资料
字号: 5楼

引用:
【HOSTのS的贴子】麻烦也发下  等下回来 也玩玩  邮箱还记得吗 
………………

不记得了,你个家伙,有好玩的样本也发给兄弟几个嘛
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-09-07 16:49 | 显示全部 短消息 资料
字号: 6楼

引用:
【HOSTのS的贴子】
我要有时间找样本  就不找你要了  现在是忙里偷闲  玩一下 
hostsqw@163.com
………………

发了~
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-09-07 16:49 | 显示全部 短消息 资料
字号: 7楼

引用:
【青松1的贴子】也麻烦你给我发一个样本  谢谢
tan2000tan@21cn.com
加密123

………………

发了
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-09-07 17:07 | 显示全部 短消息 资料
字号: 8楼

引用:
【twhsunny的贴子】感谢版主,在你孜孜不倦的教导下,本机问题得以解决。但是,我们单位的所以移动硬盘都感染了这个病毒,只要硬盘插入原来处理好的本机也就又感染了。请问有什么方案可以解决移动硬盘上的问题!?!??
………………


你说的斑竹应该是阳光大大吧?哈哈哈哈
硬盘上的问题比较好解决
就是把Autorun.inf和SFF.exe 删了就应该没事了

但不要双击移动硬盘,先显示所有的隐藏文件,包括受保护的系统文件
再用冰刃或者WINRAR打开删除 应该就没事了
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT