我操。。。我改怎么办啊。。。万能的8da....

H.o.T.SuMMeR

玩游戏为了不卡就关了所有杀毒软件，后来发现中毒了。。。现在卡巴360都运行不了了。。。发现被这个网战乱入了。。。

怎么办啊。。。。QQ都不敢登陆了。。。。

悬赏222水晶！

lucifer520

买新机器

极品菜刀

好的
重做系统吧

SimoN

dzbbc163

http://www.kafan.cn/shadu/news/200812032966.html

Muscle

dzbbc163

lz给sj,快点

活塞运动

扔到楼下
一切清净了

nuaa_cliu

悲剧
这症状貌似我以前也中过
重装系统都没用
看下进程管理器里进程信息，看下服务信息吧

逍遥大侠

我中毒多次的经验 只有重装系统了/。。

cjniao

很明显是个下载者 哈哈！  我又有钱赚了

丢给我吧  我丢odbg里面 跟下木马地址  看能黑不  我又有钱赚了

哈哈 上次黑了个箱子赚了好几K！   爱死楼主了 快发我！

我是新来的

stephenzxj

安全模式强3.。。我都是这样的。。

H.o.T.SuMMeR

原帖由 金刚葫芦娃 于 2008-12-4 19:42 发表
騙人 你玩什麽遊戲 不開防火墻能中這么多毒  明顯是關了以後去看黃色的東西 然後忘記自己沒有開防火墻采中毒的

从前几天开始关的杀毒软件。后来玩了挖山。找了写挖山RPG图。看了正规的色色。灌了8DA，升级了街头篮球补丁。就这些。。。

家伙88

进安全模式用360清除流氓软件。
再用卡巴杀一下毒。。。

系统管理员

用汇编搞定啊！！

cjniao

这1-24.exe都是各种游戏的木马！

应该还有个下载者负责down下来的！

H.o.T.SuMMeR

安全模式里运行不了卡巴和360。。。

cjniao

现在下载者都带驱动的 主要是破还原  之类的

再会hook ssdt去过杀软之类的..  别指望杀毒的 debug下什么都知道了！

散步的风

安全模式下杀毒

cjniao

卡巴和360带驱动的 当然运行不了了！

PigFace.Woo

Fangerine

重装吧 咸菜 换WIN7

BarToss

砸了重新买台机器吧

hyoga

看av弄的吧  请lz不要再辩解什么了

亨利家得猪

解决拉吗    没解决我帮你找个高手来 他需要水晶

cjniao

把楼主说的那个1.exe下下来看了下

这很明显是木马  一般不会加强壳  直接丢ffi里面 显示Upack 压缩壳   手脱也很简单的 就不麻烦了
直接FFI unpacked
OD跟下去 首先会在你的     系统目录 system32/drivers生成一个
HBKERNEL32.SYS的 驱动


然后继续F8下来
然后后面可以看到

00401527    E8 E2060000     call    <jmp.&ADVAPI32.OpenServiceA>
0040152C    0BC0            or      eax, eax
0040152E    75 31           jnz     short 00401561
00401530    6A 00           push    0
00401532    6A 00           push    0
00401534    6A 00           push    0
00401536    6A 00           push    0
00401538    68 44214000     push    00402144                         ; ASCII "Boot Bus Extender"
0040153D    8D85 F8FEFFFF   lea     eax, dword ptr [ebp-108]
00401543    50              push    eax
00401544    6A 00           push    0
00401546    6A 00           push    0
00401548    6A 01           push    1
0040154A    6A 10           push    10
0040154C    68 32214000     push    00402132                         ; ASCII "HBKernel32 Driver"
00401551    68 27214000     push    00402127                         ; ASCII "HBKernel32"
00401556    FFB5 F0FDFFFF   push    dword ptr [ebp-210]
0040155C    E8 A1060000     call    <jmp.&ADVAPI32.CreateServiceA>
00401561    0BC0            or      eax, eax
00401563    74 3B           je      short 004015A0
00401565    8985 ECFDFFFF   mov     dword ptr [ebp-214], eax
0040156B    6A 00           push    0
0040156D    6A 00           push    0
0040156F    50              push    eax
00401570    E8 B7060000     call    <jmp.&ADVAPI32.StartServiceA>


CreateServiceA-------StartServiceA     前面创建服务      然后是启动驱动啥的。。。

然后继续往下 又看到了个C:\WINDOWS\system32\HBASKTAO.dll

继续往下  然后还会创建个  
C:\WINDOWS\system32\system32.exe


然后会用createprocess来启动

然后下面就操作注册表了  Software\Microsoft\Windows\CurrentVersion\Run


。。。。。。。。。。

shit  按错了 按成F9运行了。。。

wwwdark

断网，关进程，删除文件，关闭启动项，注销，安装360，超级兔子，超级巡警，再彻底杀一次