----  关于飞飞外褂------  到网站下的人都应该有这个情况--- 来看看`----------

社区服务
高级搜索
猴岛论坛DNF地下城与勇士----  关于飞飞外褂------  到网站下的人都应该有这个情况--- 来看看`----------
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
81个回复

----  关于飞飞外褂------  到网站下的人都应该有这个情况--- 来看看`----------

楼层直达
kiss-

ZxID:1912792

等级: 大校
⿹張口┼yッゼes閉ゑ゛㏎〆╪〥ńТ゛口╃耶▍↘﹩の

举报 只看楼主 使用道具 楼主   发表于: 2008-10-20 0
[其实里面没有木马  只有一个 损坏AppInit_DLLs 的 AppInit_DLLs 是一个
控制在系统启动时加载的DLL。某些恶意软件通过该项来达到开机自启动的目的。 自己可以判断里面的确含有恶意程序 不过作者是靠这个来实现 外褂自己启动的`!  我刚刚把这个项修复了`

等待测试  可以的话说声谢谢大家了`!
[sa rang hea yo][sa rang ham ni da]
quanbao23

ZxID:1756573

等级: 少将
举报 只看该作者 81楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
不是说人太多了 现在那挂 上不去了么
wangande

ZxID:1845176

等级: 上士
举报 只看该作者 80楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
4个木马!
其中2个BACKDOOR
nj19870224

ZxID:2013562

等级: 上等兵
举报 只看该作者 79楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
那个 我测试也不成功 倒是没检测出来木马
玩的就是狠

ZxID:1866514

等级: 列兵
举报 只看该作者 78楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
看看有测试的吗?
mmtyl033

ZxID:1892443

等级: 上等兵
举报 只看该作者 77楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
不晓得是怎么搞的
30864266

ZxID:1713196

等级: 大尉
举报 只看该作者 76楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
期待~~~
8810050

ZxID:1922746

等级: 上士
拿着菜刀砍电线一路火花带闪电~~
举报 只看该作者 75楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
是木马病毒注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表.
早期的进程插入式木马。

1.清理掉系统木马、病毒程序。(要借助360诊断报告分析,用360粉碎机,粉碎explorer进程中挂载的无版权信息的DLL文件,防止进行下面操作之后复发)。

2.安全模式(防止木马重新写入注册表)下任务栏>>开始>>运行>>键入regedit>>到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows>>在右边双击AppInit_DLLs,查看下数值数据里面到底加载什么文件,右键点击AppInit_DLLs选择修改,将数据清空之后确定(建议使用其他注册表编辑工具进行操作)。(删除dll开机加载到进程的注册表数据)



3.然后搜索数值数据里面木马想要加载的dll文件,使用360安全卫士粉碎机删除即可。(彻底删除木马文件) 字串2


4. 一些安全\正常的程序也可能提示未知AppInit_DLLs,例如:卡巴斯基。这就要看360安全卫士提示未知程序的路径,像卡巴斯基的允许就可以了。



另一种方法:

操作步骤:
  1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙)
  C:\WINDOWS\system32\wdbpri.dll
  C:\WINDOWS\system32\qhbpri.dll
  C:\WINDOWS\system32\ztipri.dll
  C:\WINDOWS\system32\dhbpri.dll
  C:\WINDOWS\system32\zxepri.dll
  C:\WINDOWS\system32\xyepri.dll
  所有文件必须都要重命名
  不能落掉一个否则会功亏一篑
  2.重启计算机
  此时可能会报加载某某dll错误不要管他出现这个错误其实是你成功的标志!
  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏

受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是”然后确定,删除

C:\WINDOWS\system32\wdbpri.dll
  C:\WINDOWS\system32\qhbpri.dll
  C:\WINDOWS\system32\ztipri.dll
  C:\WINDOWS\system32\dhbpri.dll
  C:\WINDOWS\system32\zxepri.dll
  C:\WINDOWS\system32\xyepri.dll
  你刚刚重命名的那些文件
  打开sreng
  启动项目注册表删除如下项目
  双击AppInit_DLLs把其键值改为空
  删除
  {2F12545B-1212-1314-5679-4512ACEF8902}C:\WINDOWS\system32\wdbpri.dll
  {26368135-64FA-BC34-DA32-DCF4FD431C92}C:\WINDOWS\system32\qhbpri.dll
  {91351752-5628-1547-FFAB-BADC13512AF9}C:\WINDOWS\system32\ztipri.dll
  {22311A42-AC1B-158F-FD32-5674345F23A2}C:\WINDOWS\system32\dhbpri.dll
  {5A65498A-7653-9801-1647-987114AB7F45}C:\WINDOWS\system32\zxepri.dll
  {613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}C:\WINDOWS\system32\xyepri.dll即可。

  由于此病毒一般为木马下载器所下所以如果发现了此病毒肯定机器还有其他病毒或者木马

需要用杀毒软件配合手动清除掉所有残余的病毒和木马!
成熟稳重 幼稚调皮 温柔体贴 活泼可爱
30864266

ZxID:1713196

等级: 大尉
举报 只看该作者 74楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
能用的话就最
hppt013

ZxID:1672738

等级: 上校

举报 只看该作者 73楼  发表于: 2008-10-20 0
Re:Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
引用
引用第1楼aa86552318于2008-10-20 22:09发表的 Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`---------- :
不知道,最好别被黑了
197012646

ZxID:1722578

等级: 中士
举报 只看该作者 72楼  发表于: 2008-10-20 0
期待~~~
2287077

ZxID:2071594

等级: 大尉
举报 只看该作者 71楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
不怕死的真多
qk003300

ZxID:2001177

等级: 准尉
我有我自由~~~理鬼你感受

举报 只看该作者 70楼  发表于: 2008-10-20 0
Re:Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
引用
引用第2楼wsaml于2008-10-20 22:09发表的 Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`---------- :
能用的话就最好了!
zhaoyutg

ZxID:2068092

等级: 列兵
举报 只看该作者 69楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
俺,小白,俺去试试哈。。。。
壞寳児

ZxID:1998165

等级: 列兵
举报 只看该作者 68楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
那边好像说是马了
jf124174

ZxID:2009147

等级: 中尉
举报 只看该作者 67楼  发表于: 2008-10-20 0
Re:Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
引用
引用第58楼460266599于2008-10-20 22:28发表的 Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`---------- :
有挂顶之,无挂刷刀
zengjifan

ZxID:2104086

等级: 上等兵
举报 只看该作者 66楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
你修复了再测试挖
jay1989413

ZxID:1901527

等级: 上校

举报 只看该作者 65楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
现在不可能测试成功。。。那挂的服务器都爆了所有人都不能用
杨尕鹏

ZxID:2055296

等级: 大校
Agony、尕鹏,

举报 只看该作者 64楼  发表于: 2008-10-20 0
Re:Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
引用
引用第2楼wsaml于2008-10-20 22:09发表的 Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`---------- :
能用的话就最好了!
Agony, 爱过您,
230469

ZxID:1847017

等级: 中士
用G要低调,做人要厚道!!
举报 只看该作者 63楼  发表于: 2008-10-20 0
Re:----  关于飞飞外褂------ 到网站下的人都应该有这个情况--- 来看看`----------
我运行后
就没发现外挂程序弹出的对话框
用G要低调,做人要厚道!!
« 返回列表
发帖 回复