我操。。。我改怎么办啊。。。万能的8da....

yangjiba

还悬赏个锤子。除了重搞系统，无他

cjniao

注册表里面写入的就是那个system32.exe  放这里面启动      写这东西的人很2。。。。


反正这个 1.exe没什么用 看来主要工作的还是 system32.exe

然后这个HBASKTAO.dll  至于前面那个驱动  目的估计就在于关闭杀软啊。。。  过还原啊之类的龌龊事了  不过具体还是要debug下才能更加清楚

黑友

LS 的能帮破解外挂吗？

H.o.T.SuMMeR

360顽固木马转杀大全貌似有用。查到这些病毒了。还在找。。。。谢谢各位大大啊。。。

cjniao

楼猪人不在  不再分析了 楼猪用冰仞之类的软件 强制把HBKERNEL32.SYS驱动卸掉

然后把
C:\WINDOWS\system32\HBASKTAO.dll
C:\WINDOWS\system32\drivers\HBKERNEL32.SYS
C:\WINDOWS\system32\system32.exe
删除掉

然后删除注册表Software\Microsoft\Windows\CurrentVersion\Run 里面的system32.exe键


我就简单看了下那个1.exe   其他有什么问题我就不清楚了

其实还是 装系统是王道。。。

y-p-8

我裸奔了好多年 。。。。。

H.o.T.SuMMeR

我居然一边看电影一边杀毒。。。我没救了。。。。

azhe1151

[:48]

cjniao

看了下2.exe 应该就是盗号木马了
findwindowa----- getwindowsthreadprocessid----
先是创建一个dll  然后通过上面这样的函数看看用户是不是启动了目标程序然后发现了就hook进去

然后就是等待path了 这当然是path的用户目标程序残留才内存里面的比喻说密码之类的信息。。。。 然后估计最后就post到放马者那里了！

H.o.T.SuMMeR

操。人家也只是去有名的视频站，性欲强的H网啊。。。人家找谁惹谁了。。。裸苯就必须中招吗？。。。

cjniao

杀软是浮云  ：）

H.o.T.SuMMeR

原帖由 cjniao 于 2008-12-4 20:17 发表
看了下2.exe 应该就是盗号木马了
findwindowa----- getwindowsthreadprocessid----
先是创建一个dll  然后通过上面这样的函数看看用户是不是启动了目标程序然后发现了就hook进去

然后就是等待path了 这当然是p ...

您还敢再高科技点吗？。。。。

亨利家得猪

嘎嘎    有点悲剧   习惯就好  我经常中招

H.o.T.SuMMeR

准备呼呼一手再看情况。各位晚安。睡醒汇报情况^.^

xrpbily

重装系统

y-p-8

原帖由 H.o.T.SuMMeR 于 2008-12-4 20:17 发表
操。人家也只是去有名的视频站，性欲强的H网啊。。。人家找谁惹谁了。。。裸苯就必须中招吗？。。。

我经常在网上搜索资料的 ，去H 网也是经常的，可是裸奔了好多年 ，依然没事，我自己都奇怪 。。。。。

琴瑟琵琶

H.o.T.SuMMeR

8王素2B。咸菜确定肯定以及一定！..........

悲剧小公主

...这个有点悲剧啊