本文目录一览:
-
4、病毒 木马 问题
乐乐G刷怪的时候怎么都是MISS?
此次【楽楽MINI】正式版1.0更新做出了如下改善:
1 美化了界面,增加视觉冲击力;
2 加强了热键的自定义修改,大家可以随意设置自己顺手的按键;
3 技能选择和热键自定义修改支持保存,减少再次修改的繁琐设置;
4 彻底完善了各职业的技能修改,除了阿修罗,任何职业都可以使用。
功能简介:
热键修改
工具本身默认热键开启为HOME 关闭为END 修改技能为F7 恢复技能为F8
点击就可以随意设置大家所想要自定义的快捷键
彻底解决了热键与技能键之间的距离导致的操作不便
开启楽楽MINI
点击后楽楽MINI正常开启并会自动最小化
最新版本
此功能尤为强大,支持自动更新
在版本过期的时候能第一时间知道有没有最新版本
但不能保证更新的及时,最好到论坛上关注最新消息
退出程序
点击后楽楽MINI彻底关闭
详细使用教程:
1 解压,打开【楽楽MINI】;
2 这时候会弹出这个对话框
可以通过热键修改设置你所想要修改的热键。
(本身默认热键开启为HOME,关闭为END,修改技能为F7,恢复技能为F8)
修改完点保存,选择你想要修改的技能以后点开启楽楽MINI ;
3 进入游戏,按默认热键HOME或者你修改后的开启热键激活【楽楽MINI】(此时没有任何提示);
4 进图以后按你自行设置的热键(默认F7)修改技能,然后用对应的技能触发以后迅速按还原热键(默认F8)恢复技能。
谨记操作。
注:【楽楽MINI】是支持任何时候打开的,不用局限于教程。
换角色或者另外选择修改技能必须彻底关闭【楽楽MINI】再重新开启,否则技能修改无效!
各职业修改技能详细说明:
大叔 和上个版本一样,稳定的技能,不错的输出!
蓝拳 技能都很稳定,尤其是现在增加了全屏,蓝拳不再低调!
枪手 一直十分稳定的职业! 风暴弥补了最近的空缺!
格斗 风暴出现MISS就去PK场吃“福”,建议组队!
法师 激光炮很稳定,伤害适中。捷克,等级越高越好。
鬼泣 风暴无伤害的去PK吃“福”。建议组队!! 必须有噬魂鬼斩,按住鬼斩蓄气满放
白手 风暴的释放需要自己巨剑技能的等级和手中的巨剑。
狂战 两个技能都很稳定,关键是你设置的快捷键是否让你把我好了时间。
重申:【单刷感觉不保险,请组队! 出现MISS或者“1伤害”,就去吃“福”】
请会员仔细查看一下各文件的MD5,大家百度找找MD5查看工具,凡是MD5跟我们公布的MD5不一样的都是带木马病毒的,请一定要注意!!!
楽楽MINI.exe 396FE4903B9C2BC18D58F27442423FB0
MiNiDll.dll 407B7D86E52E78E60FD0A0C39559853A
杀毒报毒 用的时候先进号 关杀毒才能开】
顺便说下 此G刷图时候 刷完了退出来 在进图 G就要从新开 反复试验中
奇怪了0x69ba396指令引用的0x00000000内存.该内存不能为written是什么意思啊???
你好,电脑出现:【该内存不能为written】,这是你安装的“软件”与电脑中的“内存”有冲突!
【答案原创,引用请说明作者:力王历史】,偶然出现,点【取消】即可!
1。再不行,使用【兼容模式】:在这个软件的【桌面快捷方式】上,点右键,属性,【兼容性】,【用兼容性运行这个程序】,【勾好】,应用,确定!
或者点:【用管理员身份运行这个程序】,应用,确定!
2。电脑里有【木马或病毒】干扰,下载“360安全卫士”和“360杀毒双引擎版”或“金山卫士”和“金山毒霸”,建议“全盘扫描”病毒和木马,修补电脑上的“高危”和“重要”的【系统漏洞】!【系统修复】,一键修复!【插件清理】,立即清理【恶评插件】!
3。【可疑启动项】,下载“360系统急救箱”,或打开360安全卫士,【功能大全】里的“360系统急救箱”,开始急救,完毕后,重启电脑!开机后,【文件恢复区】,点开:可疑启动项和木马,彻底删除文件!
再:【系统修复】,全选,立即修复!【网络修复】,开始修复。重启电脑!
【金山急救箱】,勾选【扩展扫描】,立即扫描,完毕后,立即处理,重启电脑!
4。你下载的“播放器”,或“聊天软件”,或“IE浏览器”,或“游戏”的【程序不稳定】,或者“版本太旧”!建议卸掉,下载新的,或将其升级为【最新版本】!IE浏览器,和测试版软件不推荐升级!
5。就是你安装了两款或两款以上的同类软件(如:两款播放器,两款qq,或多款浏览器,多款杀毒软件,多款网游等等)!它们在一起【互不兼容】,卸掉“多余”的那一款!
6。你在电脑左下角“开始”菜单里找到【强力卸载电脑上的软件】,找到多余的那款卸掉! 卸完了再“强力清扫”(看准了再卸,别把有用的卸了)!完毕后,重启电脑!
7。再不行,开始菜单,运行 ,输入cmd, 回车,在命令提示符下输入【复制即可】 :
for %1 in (%windir%\system32\*.ocx) do regsvr32 /s %1
粘贴,回车,完毕后,再输入:
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
回车!直到屏幕滚动停止为止,重启电脑!
8。重启电脑,开机出完电脑品牌后,按“F8”,进到“安全模式”,光标选定:【最后一次正确设置】,回车,回车,看看效果如何!
9。实在不行就:【一键还原系统或重装系统】!
“空格幽灵”木马病毒造成的空格键失灵究竟是做了什么手脚?如何手动修复?还有限制关机的问题
样本信息及其dump内存文件
2.1 母体信息
文件名:YqbYbx.exe
类 型:EXE程序
大 小:52,224 字节
文件名:YqbYbx.jpg
类 型:jpg空白图片
大 小:396,445 字节
2.2 释放文件信息
文件名:twain32.dll
类 型:DLL文件
大 小:393,382 字节
路 径: %SystemRoot%\ twain32.dll
文件名:.lnk
类 型:快捷方式
大 小:424 字节
路 径:%开始菜单目录%\ .lnk 和 %我的文档目录%\ .lnk
文件名: .vbs
类 型: vbs脚本文件
大 小:139 字节
路 径:%我的文档目录%\ .lnk
2.3 内存dump文件信息
文件名:Region00E40000-00E91000.dmp
类 型:PE内存dump文件
大 小:331,776 字节
母体行为分析
3.1 母体行为概述
该母体并没有太大的危险性行为,其作用更贴切来说是作为一个Loder,作为病毒程序运行的垫脚石和对迷惑用户感官判断进行迷惑。
3.2 母体YqbYbx.exe行为分析
3.2.1 解密释放出病毒DLL文件:twain32.dll
a) 打开同文件夹下YqbYbx.jpg文件。
b) 定位到文件头偏移 0xBF7 位置处,读取 0x600A6 字节,通过简单的异解密出一个PE文件数据。
c) 将这段数据保存成一个DLL文件,路径在C:\WINDOWS\twain32.dll。
d) 利用rundll32.exe带参数 fuck007启动twain32.dll
启动格式:rundll32.exe "C:\WINDOWS\twain32.dll" fuck007
3.2.2 打开图片YqbYbx.jpg迷惑用户
a) 打开图片YqbYbx.jpg(此图片的文件已经损坏,打开是一个空白的图片)
释放文件行为分析
4.1 释放文件行为概述
释放文件有4个,一个DLL,两个个快捷方式和一个vbs程序。Vbs程序为病毒的再次启动提供多一个路径:通过快捷键启动。DLL文件就是在内存中生成病毒代码,连接远程控制服务器端,和远程控制服务器端交流信息。
4.2 twain32.dll行为分析
4.2.1 再内存进行病毒代码构造
运行的过程中,在内存分配了一个长度为 331776 字节的空间,通过大量数据解密,在这个空间里构造了一个DLL文件结构,然后跳转到这个结构中的代码来运行(已经dump出来了在压缩包中),这个DLL文件是一个远控。并且,远控服务器端域名“weiqi27890.3322.org”作为参数传递进去。
(针对远控的功能在第五章:远控功能分析)
4.3 .vbs行为分析
4.3.1 vbs脚本内容及其解析
SET objShell=Wscript.CreateObject("Wscript.Shell")
On error resume Next
iReturnCode=objShell.Run("rundll32.exe twain32.dll Run",0,TRUE)
此脚本就是利用rundll32.exe 来启动twain32.dll,其执行的时机在下面.lnk文件的分析里
4.4 .lnk行为分析
如下图,是.lnk文件的属性,可以看出,这个快捷方式可以随着空格“space”启动
远控功能分析
5.1 远控功能概述
这是一个功能比较完善的远程控制客户端,可以为服务器端提供查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。
5.2与服务器端建立连接
(1) 查询域名“weiqi27890.3322.org”的IP地址xxx
(2) 建立TCP连接到xxx地址的1234端口
(3) 建立连接后发送本机系统消息进行上线确认
(关于获取本机系统详细信息在5.3)
5.3获取本机系统详细信息
(1) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz
获得CPU的主频
(2) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString 获得CPU的型号
(3) 通过 API函数 GetSystemInfo 获得系统版本信息
(4) GetDriveTypeA 检测从A盘到Z盘是否为可用盘,若果是可用盘,
(5) GeDiskFreeSpaceExA 获得每个盘的大小和可用空间
(6) 打包成一段数据包,发送给服务器端,作为上线信号
5.4记录键盘消息
(1) 接收到服务端的键盘消息指令
(2) 通过自己建立一个键盘表(全部键盘信息)
(3) 不断循环使用API函数GetKeyState测试每个键盘是否按下
(4) 将键盘信息保存到 “病毒路径\keylog.dat” 文件中
(5) 调用文件上传功能把keylog.dat上传
(6) 删除keylog.dat
5.5远程命令行功能
(1) 接收到服务端的远程命令行指令
(2) 后台运行cmd.exe
(3) 新建一个匿名管道,绑定到cmd.exe的输入输出
(4) 通过Tcp连接发送和接收cmd命令,让控制端自由操作
5.6查看进程列表功能,结束进程功能
(1) 接收到服务端的查看进程列表的功能
(2) 利用进程系统快照遍历系统进程
(3) 发送系统快照到服务器
(4) 如果服务器要求结束某进程,先使用(SeDebugPrivilege、LookupPrivilegeValueA、AdjustTokenPrivileges获得系统的权限)再用API函数TerminateProcess结束进程,如果无法结束,则调用调用系统的taskkill.exe /f /pid %d来结束进程。
5.7 DOS攻击功能
(1) 接收到服务端的DDOS攻击指令
(2) 接收到要攻击的IP地址或网站
(3) 创建一个线程,死循环的访问对应的网站或死循环的对IP地址发出连接邀请
(4) 直到收到了结束攻击的指令,才结束刚才创建的攻击进程。
5.8使电脑无法正常关机的功能
(1) 接收到服务端的使电脑无法正常关机的指令
(2) 使用API函数PrivilegeOpera设置SeShutdownPrivilege的属性使得电脑无法正常关机。
(3) 直到收到解除指令才还原设置
5.9设置系统成为可以多用户使用的3389端口远程桌面
(1) 接收到服务器端的设置远程桌面的消息
(2) 对如下注册表进行操作
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
KeepRASConnections设置为REG_SZ值为1
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server中
fDenyTSConnections设置为REG_DWORD值为0
HKLM\SYSTEM\CurrentControlSet\control\terminal server\Licensing中
EnableConcurrentSessions设置为REG_DWORD值为1
HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters中
serviceDll设置为REG_EXPAND_SZ值为%SystemRoot%\system32\termsrvhack.dll
(3) 用文件接收功能,接收termsrvhack.dll到文件到C盘根目录下
(termsrvhack.dll这是网上广为流传的用户多用户3389的DLL文件)
(3) 复制c:\termsrvhack.dll到c:\windows\system32\dllcache\termsrvhack.dll
(4) 复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll
5.12 其他功能
其他远控常见功能,如上传下载文件,远程运行文件,删除文件,清除系统记录,查看系统服务,修改IE主页等功能,不做说明。
病毒 木马 问题
立即去下载个木马清道夫,按我说的去做,一定搞定这些猪头木马。呵呵,这个是专业的查杀木马的,防火墙功能最强,绝对能杀掉木马,主动防御的防火墙,有10天免费期,注意木马清道夫的防火墙要把“基本设置”的“木马监控”的所有选项选上,详细看图。该防火墙不会和其他杀软发生冲突的。如果防火墙安装设置好没能主动监测到木马活动,你可以重启下电脑,因为重启电脑好处在,木马防火墙比木马先一步开启,能及时检测到木马发出的对外请求连接的信息,从而判定是木马,或者将木马清道夫更新,然后对全盘扫描一次。如果解决不了M我。咕咚咕咚···
wmp.dll是什么病毒 中招后怎么删除?我不想重装系统
这是一个盗号木马导致,最好使用权威安全软件修复此问题。建议下载最新版的360系统急救箱恢复丢失的DLL文件,打开程序,点击开始急救等出现“引擎初始化完成”字样后点击“恢复丢失的DLL文件”,立即修复即可!也可以手动添加进行修复。