特别推荐分析家５.０１００２３光盘

浪啊浪

有病毒！！！

hzg3228630

dddddddddddddddddddddddddddddddddddddd

fba168

dddddddddd

ameh

谢谢楼主

rayko

很好啊，偶一步到位找到啦～

rayko

再谢，试用汇报，有必要报一报。因其中某个有病毒。给卡巴挡了。
网络接口Helloworld2.28.8.18这个，小心。。。
偶解压后，研究了下ＡＶＩ是Helloworld2.28.8.18的安装目录。
执行C:\helloworld\helloworld.exe，就它，一执行.cdcd.sys立刻出现，这文件是必要的吗？？？。。。

金山的网上病毒库查的。

毒名称：Win32.Hack.PcClient.b 病毒别名： 处理时间：2005-09-27

　中文名称： 病毒类型：未知 威胁级别：  

　影响系统：


病毒行为

该病毒是一个后门程序，运行后记录用户的按键信息，发送给黑客。自我复制到windows目录下或系统目录下。修改注册表，实现开机自启。

1。释放驱动文件到
%system32%\cdcd.sys

2.释放动态库到
%system32%\Ymyebwtj.dll 和 %system32%\Ymyebwtj.d1l　（前面一个是数字１，后面一个是字母Ｌ）

3。cdcd.sys用来保护Ymyebwtj.dll和Ymyebwtj.d1l不被人发现，查找当前有窗口的进程，将Ymyebwtj.dll注入其中，该dll用来记录用户的输入，并将信息发送出去。将Ymyebwtj.d1l注入svchost，用来保护Ymyebwtj.dll不被卸载

4。添加服务
HKLM\SYSTEM\CurrentControlSet\Services\Cdsys
"ImagePath = %system32%\cdcd.sys"

[ Last edited by rayko on 2005-10-22 at 11:42 ]

rayko

我只好在别的地方下了个helloworld啦。
比较了下字节性，这个光盘版的，给人绑架啦。。。几百Ｋ的原文件增加到１Ｍ多。

hxzdd

非常感激  rayko 兄弟!  谢谢了!

木马好怕!!!!

huimingkjm

zlingsong

谢谢你chunguo，值得收藏。

huimingkjm

huimingkjm

分析家 没有《厘》显示？  谢谢！

huimingkjm

分析家 没有《厘》显示？  谢谢！

asasww

像你这样的好人,真是太少了!顶!

ggzzhh2004

Originally posted by 涂雅人 at 2004-12-6 13:31
像你这样的好人,真是太少了!顶!

顶

胡京京

Originally posted by rayko at 2005-10-22 11:45
我只好在别的地方下了个helloworld啦。
比较了下字节性，这个光盘版的，给人绑架啦。。。几百Ｋ的原文件增加到１Ｍ多。

可否将您从别处下的Helloworld传将上来分享? 或者把链接传上来? 我的Helloworld也遭到无耻绑架了。
周末愉快！

胡京京

Originally posted by 胡京京 at 2005-10-28 22:37

可否将您从别处下的Helloworld传将上来分享? 或者把链接传上来? 我的Helloworld也遭到无耻绑架了。
周末愉快！

顶！

sz-01

yz010203

谢谢！

胡京京

顶！

[ Last edited by 胡京京 on 2005-11-1 at 10:28 ]