花花公子与小赖虫 - 2007-2-7 16:02:00
打开"我的电脑",右击任何一个磁盘的属性就可以看到了.
附件:
702560200727155331.jpg
花花公子与小赖虫 - 2007-2-7 16:10:00
呵呵..那你从百度里搜搜看有相关的贴子吗///应该可以找到的..
反正我这个系统是FAT32的.
纳兰明珠 - 2007-2-7 16:57:00
回来看下,好像FAT32 也可以的。应该是设置问题。
浪涛 - 2007-2-7 17:22:00
以上方法在别的机器上试了一下,OK了,但是我的机器怎么办呢,头大,还请各位指点指点
我是OEM XPhome的
afkp4e7 - 2007-2-8 8:47:00
fat32没安全
纳兰明珠 - 2007-2-8 11:16:00
我记得FAT32 也有安全选项,区别在于FAT32那么设置之后,原文件可以删除。而改成NTFS之后,那个程序就完全锁死,删除/改名/移动都不行,更绝的是连格式化都格式化不了,也不知道为什么。。。。
两个铁球 - 2007-2-8 13:03:00
楼主这样在“安全”项以权限设置限制病毒,不失为好法子之一。
请问你的日志是自动形成的吗?是SSM的还是别的?我怎么没见到SSM有日志功能?
花花公子与小赖虫 - 2007-2-8 13:42:00
| 引用: |
【浪涛的贴子】以上方法在别的机器上试了一下,OK了,但是我的机器怎么办呢,头大,还请各位指点指点
我是OEM XPhome的
……………… |
郁闷!!我说呢>>>找了半天也没找到安全..嗨..!!
baohe - 2007-2-8 14:25:00
【回复“浪涛”的帖子】
INFO.exe添加/修改的注册表内容如下:
HKEY_CLASSES_ROOT\ASP.HostEncode\CLSID
@="{0CF774D1-F077-11D1-B1BC-00C04F86C324}"
HKEY_CLASSES_ROOT\aspfile\ScriptHostEncode
@="{0CF774D1-F077-11D1-B1BC-00C04F86C324}"
HKEY_CLASSES_ROOT\CLSID\
{0CF774D0-F077-11D1-B1BC-00C04F86C324}
HKEY_CLASSES_ROOT\CLSID\
{0D43FE01-F093-11CF-8940-00A0C9054228}
HKEY_CLASSES_ROOT\CLSID\
{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\
{32DA2B15-CFED-11D1-B747-00C04FC2B085}
HKEY_CLASSES_ROOT\CLSID\
{85131630-480C-11D2-B1F9-00C04F86C324}
HKEY_CLASSES_ROOT\CLSID\
{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}
HKEY_CLASSES_ROOT\CLSID\
{EE09B103-97E0-11CF-978F-00A02463E06F}
HKEY_CLASSES_ROOT\HTML.HostEncode\CLSID
@="{0CF774D0-F077-11D1-B1BC-00C04F86C324}"
HKEY_CLASSES_ROOT\Interface\
{0AB5A3D0-E5B6-11D0-ABF5-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\
{2A0B9D10-4B87-11D3-A97A-00104B365C9F}
HKEY_CLASSES_ROOT\Interface\
{42C642C1-97E1-11CF-978F-00A02463E06F}
HKEY_CLASSES_ROOT\Interface\
{53BAD8C1-E718-11CF-893D-00A0C9054228}
HKEY_CLASSES_ROOT\Interface\
{A4C466B8-499F-101B-BB78-00AA00383CBB}
HKEY_CLASSES_ROOT\Interface\
{AADC65F6-CFF1-11D1-B747-00C04FC2B085}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A0-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A1-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A2-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A3-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A4-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A5-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\JSFile\ScriptHostEncode
@="{85131630-480C-11D2-B1F9-00C04F86C324}"
HKEY_CLASSES_ROOT\JSFile.HostEncode\CLSID
@="{85131630-480C-11D2-B1F9-00C04F86C324}"
HKEY_CLASSES_ROOT\MSWinsock.Winsock\CLSID
@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"
HKEY_CLASSES_ROOT\MSWinsock.Winsock\CurVer
@="MSWinsock.Winsock.1"
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1\CLSID
@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"
HKEY_CLASSES_ROOT\Opera.HTML\ScriptHostEncode
@="{0CF774D0-F077-11D1-B1BC-00C04F86C324}"
HKEY_CLASSES_ROOT\Scripting.Dictionary\CLSID
@="{EE09B103-97E0-11CF-978F-00A02463E06F}"
HKEY_CLASSES_ROOT\Scripting.Encoder\CLSID
@="{32DA2B15-CFED-11D1-B747-00C04FC2B085}"
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID
@="{0D43FE01-F093-11CF-8940-00A0C9054228}"
HKEY_CLASSES_ROOT\TypeLib\{000204EF-0000-0000-C000-000000000046}\6.0\9\win32
@="C:\\windows\\system32\\msvbvm60.dll"
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\0\win32
@="C:\\windows\\system32\\mswinsck.ocx"
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\FLAGS
@="2"
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\HELPDIR
@=""
HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\0\win32
@="C:\\windows\\system32\\scrrun.dll"
HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\
FLAGS
HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\
HELPDIR
HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\9\win32
@="C:\\windows\\system32\\msvbvm60.dll\\3"
HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\
FLAGS
HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\
HELPDIR
HKEY_CLASSES_ROOT\VBSFile\ScriptHostEncode
@="{85131631-480C-11D2-B1F9-00C04F86C324}"
HKEY_CLASSES_ROOT\VBSFile.HostEncode\CLSID
@="{85131631-480C-11D2-B1F9-00C04F86C324}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime
"EventMessageFile"="C:\\windows\\system32\\msvbvm60.dll"
"TypesSupported"=dword:00000004
花花公子与小赖虫 - 2007-2-8 14:34:00
| 引用: |
【baohe的贴子】【回复“浪涛”的帖子】
INFO.exe添加/修改的注册表内容如下:
HKEY_CLASSES_ROOT\ASP.HostEncode\CLSID
@="{0CF774D1-F077-11D1-B1BC-00C04F86C324}"
HKEY_CLASSES_ROOT\aspfile\ScriptHostEncode
@="{0CF774D1-F077-11D1-B1BC-00C04F86C324}"
HKEY_CLASSES_ROOT\CLSID\
{0CF774D0-F077-11D1-B1BC-00C04F86C324}
HKEY_CLASSES_ROOT\CLSID\
{0D43FE01-F093-11CF-8940-00A0C9054228}
HKEY_CLASSES_ROOT\CLSID\
{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\
{32DA2B15-CFED-11D1-B747-00C04FC2B085}
HKEY_CLASSES_ROOT\CLSID\
{85131630-480C-11D2-B1F9-00C04F86C324}
HKEY_CLASSES_ROOT\CLSID\
{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}
HKEY_CLASSES_ROOT\CLSID\
{EE09B103-97E0-11CF-978F-00A02463E06F}
HKEY_CLASSES_ROOT\HTML.HostEncode\CLSID
@="{0CF774D0-F077-11D1-B1BC-00C04F86C324}"
HKEY_CLASSES_ROOT\Interface\
{0AB5A3D0-E5B6-11D0-ABF5-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\
{2A0B9D10-4B87-11D3-A97A-00104B365C9F}
HKEY_CLASSES_ROOT\Interface\
{42C642C1-97E1-11CF-978F-00A02463E06F}
HKEY_CLASSES_ROOT\Interface\
{53BAD8C1-E718-11CF-893D-00A0C9054228}
HKEY_CLASSES_ROOT\Interface\
{A4C466B8-499F-101B-BB78-00AA00383CBB}
HKEY_CLASSES_ROOT\Interface\
{AADC65F6-CFF1-11D1-B747-00C04FC2B085}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A0-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A1-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A2-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A3-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A4-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\Interface\
{C7C3F5A5-88A3-11D0-ABCB-00A0C90FFFC0}
HKEY_CLASSES_ROOT\JSFile\ScriptHostEncode
@="{85131630-480C-11D2-B1F9-00C04F86C324}"
HKEY_CLASSES_ROOT\JSFile.HostEncode\CLSID
@="{85131630-480C-11D2-B1F9-00C04F86C324}"
HKEY_CLASSES_ROOT\MSWinsock.Winsock\CLSID
@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"
HKEY_CLASSES_ROOT\MSWinsock.Winsock\CurVer
@="MSWinsock.Winsock.1"
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1\CLSID
@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"
HKEY_CLASSES_ROOT\Opera.HTML\ScriptHostEncode
@="{0CF774D0-F077-11D1-B1BC-00C04F86C324}"
HKEY_CLASSES_ROOT\Scripting.Dictionary\CLSID
@="{EE09B103-97E0-11CF-978F-00A02463E06F}"
HKEY_CLASSES_ROOT\Scripting.Encoder\CLSID
@="{32DA2B15-CFED-11D1-B747-00C04FC2B085}"
HKEY_CLASSES_ROOT\Scripting.FileSystem\CLSID
@="{0D43FE01-F093-11CF-8940-00A0C9054228}"
HKEY_CLASSES_ROOT\TypeLib\{000204EF-0000-0000-C000-000000000046}\6.0\9\win32
@="C:\\windows\\system32\\msvbvm60.dll"
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\0\win32
@="C:\\windows\\system32\\mswinsck.ocx"
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\FLAGS
@="2"
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\HELPDIR
@=""
HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\0\win32
@="C:\\windows\\system32\\scrrun.dll"
HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\
FLAGS
HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\
HELPDIR
HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\9\win32
@="C:\\windows\\system32\\msvbvm60.dll\\3"
HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\
FLAGS
HKEY_CLASSES_ROOT\TypeLib\{EA544A21-C82D-11D1-A3E4-00A0C90AEA82}\6.0\
HELPDIR
HKEY_CLASSES_ROOT\VBSFile\ScriptHostEncode
@="{85131631-480C-11D2-B1F9-00C04F86C324}"
HKEY_CLASSES_ROOT\VBSFile.HostEncode\CLSID
@="{85131631-480C-11D2-B1F9-00C04F86C324}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime
"EventMessageFile"="C:\\windows\\system32\\msvbvm60.dll"
"TypesSupported"=dword:00000004
……………… |
请问下猫叔..是不是补充的东东啊..
感觉好乱啊..
两个铁球 - 2007-2-8 14:46:00
| 引用: |
【纳兰明珠的贴子】不过我为了研究和别人能看懂,所以稍微改了下。
……………… |
汗!我的SSM日志长期以来是这个样子,所以我都不知它有log功能!(如图)
那我怎么可以解决这问题?
附件:
652124200728143649.jpg
mopery - 2007-2-8 14:51:00
至今没收到样本..
IGaara - 2007-2-8 16:30:00
呵呵N淫就是不一样,分析的够详悉,虽然我没分析呵.
反汇编不是那么容易的事,不是说用反汇编工具就可以
向LZ那样列出一个详细的分析报表出来的.
如果对着方方面感兴趣的话,可以使用虚拟机+监控来完成一个病毒的
分析工作,方法最简单.
浪涛 - 2007-2-13 16:10:00
问题还是没有彻底解决,重 装系统没解决,因为东西都在系统以外的盘上,我将年info发给斑竹了,请求帮忙.xphome版的没办法用楼主 的方法,但这里还是谢谢了.
我是来来 - 2007-2-13 16:30:00
谢谢,试试看。
© 2000 - 2026 Rising Corp. Ltd.