叶陵君 - 2008-8-16 18:36:00
在虚拟机上运行的。visualBox 为虚拟机运行程序,别当坏人了。
附件:
您所在的用户组无法下载或查看附件大家学习交流。。。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
天月来了 - 2008-8-16 18:45:00
这个启动项在一般性求助贴里只要有,就必须干掉,
==================================
启动文件夹
[腾讯QQ]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>
——————————————————————————————————————————————————
下面显示的很清楚嘛
==================================
正在运行的进程
[PID: 960][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[C:\Program Files\Tencent\QQ\jeeysd.dll] [N/A, ]
[C:\Program Files\Tencent\QQ\WSOCK32.DLL] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\cugsoul.dll] [N/A, ]
[PID: 1204][C:\WINDOWS\system32\VBoxService.exe] [innotek GmbH, 1.5.6.28296]
[C:\WINDOWS\system32\cugsoul.dll] [N/A, ]
[C:\Program Files\Tencent\QQ\jeeysd.dll] [N/A, ]
[PID: 1212][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
[C:\WINDOWS\system32\cugsoul.dll] [N/A, ]
[C:\Program Files\Tencent\QQ\jeeysd.dll] [N/A, ]
[PID: 1832][C:\Documents and Settings\Administrator\桌面\SRE9d2c65c3(1)\修改的2.4版SREng.EXE] [1111, 2..4]
[C:\WINDOWS\system32\cugsoul.dll] [N/A, ]
[C:\Program Files\Tencent\QQ\jeeysd.dll] [N/A, ]
==================================
API HOOK
入口点错误:RegEnumValueA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\cugsoul.dll)
入口点错误:RegEnumValueW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\cugsoul.dll)
入口点错误:RegOpenKeyExA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\cugsoul.dll)
入口点错误:CreateFileA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\cugsoul.dll)
入口点错误:CreateFileW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\cugsoul.dll)
轩辕小聪 - 2008-8-16 18:46:00
[C:\Program Files\Tencent\QQ\jeeysd.dll] [N/A, ]
[C:\Program Files\Tencent\QQ\WSOCK32.DLL] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\cugsoul.dll] [N/A, ]
文件都已经很明显了。
没有眼泪 - 2008-8-16 18:47:00
C:\Program Files\Tencent\QQ\jeeysd.dll
C:\Program Files\Tencent\QQ\WSOCK32.DLL
C:\WINDOWS\system32\cugsoul.dll
以上文件添加如下规则...
附件:
您所在的用户组无法下载或查看附件重启后删除
最硬的石头 - 2008-8-16 18:53:00
样本呢?
叶陵君 - 2008-8-16 19:23:00
:default10: 没有眼泪正解,只要三条规则,重启就over了他。
如下图
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件加油想更多的方法,来杀他。
小狮子AA - 2008-8-16 21:13:00
就这?
没联网
联网你试试:default10:
叶陵君 - 2008-8-17 13:26:00
:default3: 昨晚3点无聊,跑上虚拟机又试了系统自带的NTFS来玩。
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件3个源头都这样设置后,重启下,再添加权限删除就可以了。
瓶子里没有水 - 2008-8-18 11:27:00
貌似用NTFS的不是那么多把~~
© 2000 - 2026 Rising Corp. Ltd.