瑞星卡卡安全论坛
闪电风暴 - 2006-8-21 9:34:00
哦,又想起一个.
GHOST其实也可以做NTFS的临时查看器.
先local_to image
再在Dialog中指向到wdm.exe和那个SYS所在文件夹,按del就行了
baohe - 2006-8-21 9:34:00
| 引用: |
【蓝鸢rita的贴子】猫叔,那个~~~那个~~~,你前面写的步骤的第一个框框怎么打开的~~
我找不到~~~
T.T
……………… |
用SREng
baohe - 2006-8-21 9:39:00
| 引用: |
【闪电风暴的贴子】http://www.yuxian.net/bbs/bbsxp/ShowPost.asp?ThreadID=8028
已经有人抄袭了
……………… |
连有毛病的,带正确的——都抄去了。
如果中招前,系统中没装SSM,用SSM根本不能解决问题。
蓝鸢rita - 2006-8-21 9:39:00
那个,猫叔大侠~~~
我,我还是不会,~~~
菜的啊~~~
baohe - 2006-8-21 9:42:00
| 引用: |
【蓝鸢rita的贴子】那个,猫叔大侠~~~
我,我还是不会,~~~
菜的啊~~~
……………… |
SREng是个工具软件,不用安装。下载后直接使用。
下载地址:http://www.kztechs.com/sreng/download.html
westbeck - 2006-8-21 9:52:00
学习了...
蓝鸢rita - 2006-8-21 9:52:00
猫叔,还是我,看到跟你的那个图片显示的有点不一样~
要删么~~
还有下面那一行红的是怎么了~~
刚刚好象有对话框出来说它不对的~~~
附件:
714908200682194448.BMP
baohe - 2006-8-21 9:56:00
| 引用: |
【蓝鸢rita的贴子】猫叔,还是我,看到跟你的那个图片显示的有点不一样~
要删么~~
还有下面那一行红的是怎么了~~
刚刚好象有对话框出来说它不对的~~~
……………… |
那个红色的——别管它。
倒是那个蓝色的——不对劲儿!看看它的具体内容。
还有——正数第二个,也不对。
独孤豪侠 - 2006-8-21 10:00:00
呵呵一个图片就能看出两个问题.建议楼主用SRENG扫个日志开个新贴......
baohe - 2006-8-21 10:01:00
| 引用: |
【独孤豪侠的贴子】呵呵一个图片就能看出两个问题.建议楼主用SRENG扫个日志开个新贴......
……………… |
同意
蓝鸢rita - 2006-8-21 10:08:00
具体内容??~~~~
那个什么晕死了~~~
附件:
7149082006821100006.BMP
闪电风暴 - 2006-8-21 10:36:00
自己开个帖
蓝鸢rita - 2006-8-21 10:41:00
开了,没人回啊~~~~~
急死了啊~~~~
T。T
baohe - 2006-8-21 10:51:00
| 引用: |
【蓝鸢rita的贴子】开了,没人回啊~~~~~
急死了啊~~~~
T。T
……………… |
已经回复你的帖子。去看。
wuao1 - 2006-8-21 10:57:00
baohe斑竹 DarkSpy 能看到wed.exe 的进程吗?
baohe - 2006-8-21 11:00:00
【回复“wuao1”的帖子】
DarkSpy——没用过。
闪电风暴 - 2006-8-21 12:48:00
一个增强型注册表编辑器
se7en25 - 2006-8-21 12:51:00
猫叔叔,这个是什么软件来的~~还是什么?
谢谢
我也中这个招了现在就是这里不会删除
谢谢
baohe - 2006-8-21 13:09:00
| 引用: |
【se7en25的贴子】
猫叔叔,这个是什么软件来的~~还是什么?
谢谢
我也中这个招了现在就是这里不会删除
谢谢
……………… |
那是TuneUp的注册表编辑器。
你用WINDOWS自带的注册表编辑器也行。
嘢蠻丫头 - 2006-8-21 13:23:00
| 引用: |
【baohe的贴子】| 引用: | 【嘢蠻丫头的贴子】
[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows],其下的Load键好象系统默认的吧...代表自动加载的项目命令行,默认键值应为空。这项目有问题吗
……………… |
中了这个木马后,[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows]下的Load键值表面为空,实际上不是空的。它与ksld.sys加载有关。
具体表现为:不删除此键值,无论你重启多少次,ksld.sys仍无法删除。删除此键值后,重启,ksld.sys即可删除。
……………… |
请问猫版主,用ICESWORD查看注册表该项值也是空的吗?
baohe - 2006-8-21 13:24:00
| 引用: |
【嘢蠻丫头的贴子】
请问猫版主,用ICESWORD查看注册表该项值也是空的吗?
……………… |
空的。
如果中了这个木马后,才打开IceSword,IceSword也傻!
这个木马告诉中招者——什么叫“系统控制权”、什么叫“先下手为强”。
旧伤口 - 2006-8-21 13:28:00
你们是不是用迅雷就中这毒啊?反正我就是.
前段时间在迅雷官网下了个迅雷5,软件本身是没毒,但一连网就中这个毒,怀疑是迅雷滴广告有毒.
嘢蠻丫头 - 2006-8-21 13:29:00
| 引用: |
【baohe的贴子】
空的。
如果中了这个木马后,才打开IceSword,IceSword也傻!
……………… |
汗,,以前帮朋友看报告时候,印象中见过注册表这两个键值,当时纳闷,觉得怎么比正常的多了两个[],也见过那个K开头的驱动,不过不是在报告里看到的,是在冰刃的内核模块里..
再请教下版主,此木马在系统里活跃吗?都有什么行为
baohe - 2006-8-21 13:32:00
| 引用: |
【嘢蠻丫头的贴子】
汗,,以前帮朋友看报告时候,印象中见过注册表这两个键值,当时纳闷,觉得怎么比正常的多了两个[],也见过那个K开头的驱动,不过不是在报告里看到的,是在冰刃的内核模块里..
再请教下版主,此木马在系统里活跃吗?都有什么行为
……………… |
行为?自动访问网络。
活跃与否,没仔细观察。
不管是否活跃,凡木马——杀无赦!
K开头的驱动?正常情况下,drivres文件夹中“K开头的驱动”不止一个。
嘢蠻丫头 - 2006-8-21 13:37:00
| 引用: |
【baohe的贴子】| 引用: | 【嘢蠻丫头的贴子】
汗,,以前帮朋友看报告时候,印象中见过注册表这两个键值,当时纳闷,觉得怎么比正常的多了两个[],也见过那个K开头的驱动,不过不是在报告里看到的,是在冰刃的内核模块里..
再请教下版主,此木马在系统里活跃吗?都有什么行为
……………… |
行为?自动访问网络。
活跃与否,没仔细观察。
不管是否活跃,凡木马——杀无赦!
K开头的驱动?正常情况下,drivres文件夹中“K开头的驱动”不止一个。
……………… |
多谢猫叔赐教...当时看端口连接网络访问等情况,觉得有点象死马,就漏过了..呵.
猫叔,似乎SRE扫描出来的那项注册LOAD的值都带个[],至少我这边是这样的.
se7en25 - 2006-8-21 13:37:00
按照楼主的方法把那些注册表都删除了
但是重启后显示隐藏文件~回收站里什么垃圾都没有
电脑现在又出了2个问题~一个是任务管理器打开不了
一开就马上消失~还有最严重的就是上不到网了~
我现在用一个电脑发贴询问
baohe - 2006-8-21 13:38:00
| 引用: |
【嘢蠻丫头的贴子】
似乎SRE扫描出来的那项注册LOAD的值都带个[],至少我这边是这样的.
……………… |
是的
baohe - 2006-8-21 13:44:00
| 引用: |
【se7en25的贴子】按照楼主的方法把那些注册表都删除了
但是重启后显示隐藏文件~回收站里什么垃圾都没有
电脑现在又出了2个问题~一个是任务管理器打开不了
一开就马上消失~还有最严重的就是上不到网了~
我现在用一个电脑发贴询问
……………… |
你没动手删除那些木马文件,它们自己不会跑到回收站里去。
我那张回收站的截图是要告诉中招者:
1、按照本帖说的操作顺序处理,这些木马文件完全可以删除。
2、应该在哪些路径下找这些木马文件(如果不知文件的具体位置——你怎么删?)
se7en25 - 2006-8-21 13:51:00
一时糊涂了
都删了~但是任务管理器还是一打开就马上消失的~~??
© 2000 - 2026 Rising Corp. Ltd.