--本站公告--

927gg.com-就爱去复古。发布复古传奇私服,1.76复古传奇,1.85复古传奇,网通1.76复古,盛大复古传奇,1.96,1.80,1.88,1.89变,1·95合击sf发布平台,找新开复古传奇游戏,就到927gg.com,

设为首页加入收藏广告联系 *返回网站首页*


QQ迷你首页(假的)&全球最大的网游私服搜索引擎&Ad1.exe已更新主文件

QQ迷你首页(假的)&全球最大的网游私服搜索引擎&Ad1.exe已更新主文件

一、Ad1.exe文件信息

Ad1.exe
SIZE   :20480 bytes
SHA-160: 8F58F69ADAC97A20D37572B053C66C7807F87E16
MD5    : F76BCDBD175DC72134FC1EBB9B2B1429
CRC-32 : 78EABAB7
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
Version Information
====================
Operating System           : 32-bit Windows
File Type                  : Application
File Sub-Type              : Unknown
File Version               : 0,0,0,0
Product Version            : 0,0,0,0
============================================================
Product Name               : Tencent Messenger
File Description           : TM
File Version               : 0.00
Product Version            : 0.00
Company Name               : 腾讯公司
Internal Name              : Ad1
Legal Copyright            : 版权所有 (C) 2003-2005 腾讯公司
Original FileName          : Ad1.exe

trkwks.dll
SIZE   :101376 bytes
SHA-160: 285FC0A0E995768B9C24B33240E252FE5760BD4A
MD5    : 5845026B4C2AF1A901B0E304E049DD9F
CRC-32 : A44D6F95
加壳方式:UPX 0.80 - 1.24 DLL -> Markus & Laszlo
Version Information
====================
Operating System           : 32-bit Windows
File Type                  : Application
File Sub-Type              : Unknown
File Version               : 5,1,2600,2180
Product Version            : 5,1,2600,2180
============================================================
Product Name               : Microsoft(R) Windows(R) Operating System
File Description           : Distributed Link Tracking Server
File Version               : 5.1.2600.2180
Product Version            : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Company Name               : Microsoft Corporation
Internal Name              : es2.dll
Legal Copyright            : (C) Microsoft Corporation. All rights reserved.
Original FileName          : ES2.DLL

二、该程序有如下行为:

1、设置HOSTS文件61.135.150.114 (网站名单不列了)
2、下载:两个副本程序包
hxxp://www.cj888.net/cj1.exe
释放两个文件
est.dll
SIZE   :104448 bytes
SHA-160: BA3571201DA1166E37A490AE121975D45CD81FA6
MD5    : BB8F6F5B38C46BBE11C2B7D757008ECC
CRC-32 : F69BFB49
加壳方式:UPX 0.80 - 1.24 DLL -> Markus & Laszlo
Modified Date: 2006-10-25 12:33:30
Explorer.exe
SIZE   :13824 bytes
SHA-160: D72A88DDEF1C314A78C54E2F14C43919D3FA8D35
MD5    : E6DA1D7A121E87CA2221CFEFA2291610
CRC-32 : D0ADA317
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
Modified Date : 2006-10-25 13:07:35

hxxp://www.cj888.net/cj2.exe
释放两个文件
est.dll
SIZE   :101376 bytes
SHA-160: E3950CF89FDF427744D4046C794D012BEB2DD595
MD5    : 9E6403C74BC52F227CD1C27BA74F52D3
CRC-32 : 7D0DAEA3
加壳方式:UPX 0.80 - 1.24 DLL -> Markus & Laszlo
Modified Date : 2006-10-24 13:26:28
Explorer.exe
SIZE   :13312 bytes
SHA-160: DE49762D65D5ED00E1387C511F56E8C8011C6511
MD5    : F953BBA9EF926EFE0AA6F655B38BB01A
CRC-32 : 54D080DC
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
Modified Date : 2006-10-25 2:26:36

以上Explorer.exe程序
会重写服务(est.dll)
打开1.htm(QQ迷你首页)
访问计数器:hxxp://www.cj888.net/cj/counts.asp?id=2&M=
还会下载hxxp://www.cj888.net/ad.exe(AVP已报毒Trojan-Downloader.Win32.VB.aph)
并会打开网页:hxxp://www.37ss.com/index20.htm(全球最大的网游私服搜索引擎)

3、下载hxxp://www.37ss.com/temp/2.htm保存为c:\1.htm
4、下载:hxxp://www.cj888.net/trkwks.dll保存为c:\trkwks.dll
替换TrkWks服务的相关ServiceDLL=目标文件(替换掉system32\Trkwks.dll和dllcache\Trkwks.dll)
5、设置QQ.Ini用于打开hxxp://www.37ss.com/index20.htm(全球最大的网游私服搜索引擎)
6、通过hxxp://www.cqwg.net/down.asp?name=updata&id=3
下载安装“及时雨个人PK版7.76”:ftp://218.75.91.21/wg/jsy7.76.exe是个压缩包
注:
Ad1.exe进程会打开c:\1.htm这个QQ迷你首页,并会打开播放hxxp://www.37ss.com/temp/37ss_qq.swf
// Action script...
on (release)
{
    getURL("http://www.37ss.com/index20.htm", "_blank");(打开全球最大的网游私服搜索引擎)
}
trkwks.dll目前预设每隔200minutes设置主页、打开页面及pic,并更新下载:hxxp://www.cj888.net/Ad1.exe,保持自己的存在和更新。

三、禁止下载使用该网站客服所给出的解除工具hxxp://www.37ss.com/qingchu.exe
qingchu.exe
SIZE   : 5632 byte
SHA-160: 63D4290DA86D6950D0807BC9AE559DA1FA49736B
MD5    : 80B9DCDA82EEC29FF6AF7E9198C67A13
CRC-32 : 27ED391A
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
Version Information
====================
Operating System           : 32-bit Windows
File Type                  : Application
File Sub-Type              : Unknown
File Version               : 1,0,0,0
Product Version            : 1,0,0,0
============================================================
Product Name               : 工程1
File Version               : 1.00
Product Version            : 1.00
Company Name               : 37ss.com
Internal Name              : netstop
Original FileName          : netstop.exe

Dr.Web报  Trojan.Click.1618

qingchu.exe下载hxxp://tool.37ss.com/es2.dll 即hxxp://www.cj888.net/es2.dll替换原est.dll
这不是换汤不换药么?

四、手工清除点解:

1、建议断网先拔除被替换掉的系统文件trkwks.dll
  方法链接中有提示:http://hi.baidu.com/killvir/blog/item/b9588202b0ffe20f4bfb519d.html
2、终止Ad1.exe等进程
3、全盘搜索清除所有生成的相关文件
   qingchu.exe、es2.dll、Est.dll、trkwks.dll、cj1.exe、cj2.exe、Ad1.exe(ad1.exe)、QQ.ini、~12qwe.exe、1.htm、sb.reg、ad.exe、debug.txt、c:\temp.dat,还包括cj1.exe和cj2.exe中的est.dll、Explorer.exe等病毒文件
4、恢复hosts文件为
127.0.0.1       localhost
#对病毒所打开的两个网站恨之进骨的话,添加以下两行并保存。
127.0.0.1       www.cj888.net
127.0.0.1       www.37ss.com
5、关于同时生成的“及时雨个人PK版7.

复古传奇|新开1.76复古传奇|零零复古传奇|永久复古传奇

关于我们 - 联系我们 - 广告联系 - 私服小偷- 友情连接- 网站帮助

拒绝盗版游戏 注意自我保护 谨防受骗上当 适度游戏益脑 沉迷游戏伤身 合理安排时间 享受健康生活
支持官方游戏 打击盗版游戏  
建议使用:1024×768 分辨率  IE5.0以上版本
© 2006-2010 www.927gg.com 就爱去复古 复古传奇私服,1.76复古传奇,1.85复古传奇,网通1.76复古,盛大复古传奇,新开复古传奇发布网All Rights Reserved

(注:本站只收录官方授权游戏信息,非官方授权游戏请在办理业务之前告知)
本站所有游戏均来自网络版权归游戏业主所有,如果无意之中侵犯了您的版权,请来信告知1206186286@qq.com,本站将在3个工作日内删除
*注释:本站发布所有游戏信息,均来自互联网,与本站无关。请玩家仔细辨认游戏信息的真实性,避免上当受骗!