本文目录一览:
- 1、病毒 木马 问题
- 2、“空格幽灵”木马病毒造成的空格键失灵究竟是做了什么手脚?如何手动修复?还有限制关机的问题
- 3、找不到msvcp100.dll文件怎样解决
- 4、奇怪了0x69ba396指令引用的0x00000000内存.该内存不能为written是什么意思啊???
病毒 木马 问题
立即去下载个木马清道夫,按我说的去做,一定搞定这些猪头木马。呵呵,这个是专业的查杀木马的,防火墙功能最强,绝对能杀掉木马,主动防御的防火墙,有10天免费期,注意木马清道夫的防火墙要把“基本设置”的“木马监控”的所有选项选上,详细看图。该防火墙不会和其他杀软发生冲突的。如果防火墙安装设置好没能主动监测到木马活动,你可以重启下电脑,因为重启电脑好处在,木马防火墙比木马先一步开启,能及时检测到木马发出的对外请求连接的信息,从而判定是木马,或者将木马清道夫更新,然后对全盘扫描一次。如果解决不了M我。咕咚咕咚···
“空格幽灵”木马病毒造成的空格键失灵究竟是做了什么手脚?如何手动修复?还有限制关机的问题
样本信息及其dump内存文件
2.1 母体信息
文件名:YqbYbx.exe
类 型:EXE程序
大 小:52,224 字节
文件名:YqbYbx.jpg
类 型:jpg空白图片
大 小:396,445 字节
2.2 释放文件信息
文件名:twain32.dll
类 型:DLL文件
大 小:393,382 字节
路 径: %SystemRoot%\ twain32.dll
文件名:.lnk
类 型:快捷方式
大 小:424 字节
路 径:%开始菜单目录%\ .lnk 和 %我的文档目录%\ .lnk
文件名: .vbs
类 型: vbs脚本文件
大 小:139 字节
路 径:%我的文档目录%\ .lnk
2.3 内存dump文件信息
文件名:Region00E40000-00E91000.dmp
类 型:PE内存dump文件
大 小:331,776 字节
母体行为分析
3.1 母体行为概述
该母体并没有太大的危险性行为,其作用更贴切来说是作为一个Loder,作为病毒程序运行的垫脚石和对迷惑用户感官判断进行迷惑。
3.2 母体YqbYbx.exe行为分析
3.2.1 解密释放出病毒DLL文件:twain32.dll
a) 打开同文件夹下YqbYbx.jpg文件。
b) 定位到文件头偏移 0xBF7 位置处,读取 0x600A6 字节,通过简单的异解密出一个PE文件数据。
c) 将这段数据保存成一个DLL文件,路径在C:\WINDOWS\twain32.dll。
d) 利用rundll32.exe带参数 fuck007启动twain32.dll
启动格式:rundll32.exe "C:\WINDOWS\twain32.dll" fuck007
3.2.2 打开图片YqbYbx.jpg迷惑用户
a) 打开图片YqbYbx.jpg(此图片的文件已经损坏,打开是一个空白的图片)
释放文件行为分析
4.1 释放文件行为概述
释放文件有4个,一个DLL,两个个快捷方式和一个vbs程序。Vbs程序为病毒的再次启动提供多一个路径:通过快捷键启动。DLL文件就是在内存中生成病毒代码,连接远程控制服务器端,和远程控制服务器端交流信息。
4.2 twain32.dll行为分析
4.2.1 再内存进行病毒代码构造
运行的过程中,在内存分配了一个长度为 331776 字节的空间,通过大量数据解密,在这个空间里构造了一个DLL文件结构,然后跳转到这个结构中的代码来运行(已经dump出来了在压缩包中),这个DLL文件是一个远控。并且,远控服务器端域名“weiqi27890.3322.org”作为参数传递进去。
(针对远控的功能在第五章:远控功能分析)
4.3 .vbs行为分析
4.3.1 vbs脚本内容及其解析
SET objShell=Wscript.CreateObject("Wscript.Shell")
On error resume Next
iReturnCode=objShell.Run("rundll32.exe twain32.dll Run",0,TRUE)
此脚本就是利用rundll32.exe 来启动twain32.dll,其执行的时机在下面.lnk文件的分析里
4.4 .lnk行为分析
如下图,是.lnk文件的属性,可以看出,这个快捷方式可以随着空格“space”启动
远控功能分析
5.1 远控功能概述
这是一个功能比较完善的远程控制客户端,可以为服务器端提供查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。
5.2与服务器端建立连接
(1) 查询域名“weiqi27890.3322.org”的IP地址xxx
(2) 建立TCP连接到xxx地址的1234端口
(3) 建立连接后发送本机系统消息进行上线确认
(关于获取本机系统详细信息在5.3)
5.3获取本机系统详细信息
(1) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz
获得CPU的主频
(2) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString 获得CPU的型号
(3) 通过 API函数 GetSystemInfo 获得系统版本信息
(4) GetDriveTypeA 检测从A盘到Z盘是否为可用盘,若果是可用盘,
(5) GeDiskFreeSpaceExA 获得每个盘的大小和可用空间
(6) 打包成一段数据包,发送给服务器端,作为上线信号
5.4记录键盘消息
(1) 接收到服务端的键盘消息指令
(2) 通过自己建立一个键盘表(全部键盘信息)
(3) 不断循环使用API函数GetKeyState测试每个键盘是否按下
(4) 将键盘信息保存到 “病毒路径\keylog.dat” 文件中
(5) 调用文件上传功能把keylog.dat上传
(6) 删除keylog.dat
5.5远程命令行功能
(1) 接收到服务端的远程命令行指令
(2) 后台运行cmd.exe
(3) 新建一个匿名管道,绑定到cmd.exe的输入输出
(4) 通过Tcp连接发送和接收cmd命令,让控制端自由操作
5.6查看进程列表功能,结束进程功能
(1) 接收到服务端的查看进程列表的功能
(2) 利用进程系统快照遍历系统进程
(3) 发送系统快照到服务器
(4) 如果服务器要求结束某进程,先使用(SeDebugPrivilege、LookupPrivilegeValueA、AdjustTokenPrivileges获得系统的权限)再用API函数TerminateProcess结束进程,如果无法结束,则调用调用系统的taskkill.exe /f /pid %d来结束进程。
5.7 DOS攻击功能
(1) 接收到服务端的DDOS攻击指令
(2) 接收到要攻击的IP地址或网站
(3) 创建一个线程,死循环的访问对应的网站或死循环的对IP地址发出连接邀请
(4) 直到收到了结束攻击的指令,才结束刚才创建的攻击进程。
5.8使电脑无法正常关机的功能
(1) 接收到服务端的使电脑无法正常关机的指令
(2) 使用API函数PrivilegeOpera设置SeShutdownPrivilege的属性使得电脑无法正常关机。
(3) 直到收到解除指令才还原设置
5.9设置系统成为可以多用户使用的3389端口远程桌面
(1) 接收到服务器端的设置远程桌面的消息
(2) 对如下注册表进行操作
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
KeepRASConnections设置为REG_SZ值为1
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server中
fDenyTSConnections设置为REG_DWORD值为0
HKLM\SYSTEM\CurrentControlSet\control\terminal server\Licensing中
EnableConcurrentSessions设置为REG_DWORD值为1
HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters中
serviceDll设置为REG_EXPAND_SZ值为%SystemRoot%\system32\termsrvhack.dll
(3) 用文件接收功能,接收termsrvhack.dll到文件到C盘根目录下
(termsrvhack.dll这是网上广为流传的用户多用户3389的DLL文件)
(3) 复制c:\termsrvhack.dll到c:\windows\system32\dllcache\termsrvhack.dll
(4) 复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll
5.12 其他功能
其他远控常见功能,如上传下载文件,远程运行文件,删除文件,清除系统记录,查看系统服务,修改IE主页等功能,不做说明。
找不到msvcp100.dll文件怎样解决
【首先给出99%情况下都能解决这个问题的最简单办法】:
下载并安装微软VC++2010版运行库
【注意】:如果是32位程序出现这个丢失的提示就安装32位(x86)版VC++,64位程序就安装x64版。实在分不清就两个版本都装了,也没坏处。
重申:安装哪个版本跟你的系统是否64位版并没有关系!是要看调用VC++的那个程序本身是32位还是64位!
关于附件:VC++运行库修复工具是很容易搜到下载的,也可以直接下载我附件(上传附件仅仅是为了下载方便,也可以直接搜索下载),附件免费下载,不要积分。7z、rar、zip文件要用解压缩软件打开,x86版就是32位版,请不要再问出“为什么只有86位版”之类搞笑的问题。
【下面给出吐槽和解释,不想看的可以不看】:
呵呵,vc++已经更新到了2015版,msvcp类文件的版本号刷到了140,而大部分解决方案还在用不知道哪个年代就开始祖传的复制货,又是95又是Me的,特么现在还有人用Windows 95系统?敢不敢复制粘贴之前自己试一试?敢不敢修改一下把祖传了十年的答案加上Windows8.1、Windows10?
在此强烈建议大家抵制不论什么dll都只会下载这个文件丢到系统盘,然后打开cmd用regsvr命令注册的蠢办法,这完全是撞大运。
有些人试了下上面的办法可能觉得有用,认为我危言耸听。那只是你运气好,瞎猫碰到死耗子。如果64位系统按照他的说法去把dll文件放到syswow64里,而你要打开的软件或游戏却是个32位程序,你看看是不是有用。即使版本对应,你光下载这个dll也未必有效,因为你并没有安装vc++运行库,有些软件是必须完整安装VC++运行库才能运行的。这还仅仅是vc++的dll的情况,有些dll,例如steam_api.dll这特么就是某些游戏的免steam破解补丁的文件,是应该放在游戏目录下的,有些逗比也告诉别人下载这个dll放到system32。在它们(就是它们,我没打错)眼里,所有dll都是可以下载放到system32或syswow64注册解决的。这群类人生物真是人类进步的滑梯。
至于回答重装系统的,那就更加呵呵了。除非是被人修改过的系统镜像,否则微软任何原版系统都不自带VC++运行库,重装一万遍也不可能解决msvcp类dll的丢失问题。因为“丢失”其实并不是丢失,是原本就没有!
奇怪了0x69ba396指令引用的0x00000000内存.该内存不能为written是什么意思啊???
你好,电脑出现:【该内存不能为written】,这是你安装的“软件”与电脑中的“内存”有冲突!
【答案原创,引用请说明作者:力王历史】,偶然出现,点【取消】即可!
1。再不行,使用【兼容模式】:在这个软件的【桌面快捷方式】上,点右键,属性,【兼容性】,【用兼容性运行这个程序】,【勾好】,应用,确定!
或者点:【用管理员身份运行这个程序】,应用,确定!
2。电脑里有【木马或病毒】干扰,下载“360安全卫士”和“360杀毒双引擎版”或“金山卫士”和“金山毒霸”,建议“全盘扫描”病毒和木马,修补电脑上的“高危”和“重要”的【系统漏洞】!【系统修复】,一键修复!【插件清理】,立即清理【恶评插件】!
3。【可疑启动项】,下载“360系统急救箱”,或打开360安全卫士,【功能大全】里的“360系统急救箱”,开始急救,完毕后,重启电脑!开机后,【文件恢复区】,点开:可疑启动项和木马,彻底删除文件!
再:【系统修复】,全选,立即修复!【网络修复】,开始修复。重启电脑!
【金山急救箱】,勾选【扩展扫描】,立即扫描,完毕后,立即处理,重启电脑!
4。你下载的“播放器”,或“聊天软件”,或“IE浏览器”,或“游戏”的【程序不稳定】,或者“版本太旧”!建议卸掉,下载新的,或将其升级为【最新版本】!IE浏览器,和测试版软件不推荐升级!
5。就是你安装了两款或两款以上的同类软件(如:两款播放器,两款qq,或多款浏览器,多款杀毒软件,多款网游等等)!它们在一起【互不兼容】,卸掉“多余”的那一款!
6。你在电脑左下角“开始”菜单里找到【强力卸载电脑上的软件】,找到多余的那款卸掉! 卸完了再“强力清扫”(看准了再卸,别把有用的卸了)!完毕后,重启电脑!
7。再不行,开始菜单,运行 ,输入cmd, 回车,在命令提示符下输入【复制即可】 :
for %1 in (%windir%\system32\*.ocx) do regsvr32 /s %1
粘贴,回车,完毕后,再输入:
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
回车!直到屏幕滚动停止为止,重启电脑!
8。重启电脑,开机出完电脑品牌后,按“F8”,进到“安全模式”,光标选定:【最后一次正确设置】,回车,回车,看看效果如何!
9。实在不行就:【一键还原系统或重装系统】!