瑞星卡卡安全论坛
lxr123 - 2007-4-3 17:27:00
之乎者也 - 2007-4-3 17:51:00
http://bbs.360safe.com/viewthread.php?tid=136725&extra=page%3D1
大家有兴趣就看看
大概此wulm就是彼wulm吧
怎么说人家也是360的元老啊
水平咱不清楚
但为人就……
mailliyang - 2007-4-3 18:02:00
哎,此人有问题,虽然驱动级病毒有发展之势,但是进程插入型目前还是极为猖狂,猫叔此贴很能解一些新手之茫然。毕竟论坛以教人杀毒为主,而不是以研究病毒发展道路为主!
逍遥浪子45 - 2007-4-3 18:12:00
呵呵,受教了,学习ING
hotboy - 2007-4-3 18:39:00
俺的ca啊,再也装不上了,郁闷,郁闷
秋日里的蓝天 - 2007-4-3 18:40:00
| 引用: |
【之乎者也的贴子】http://bbs.360safe.com/viewthread.php?tid=136725&extra=page%3D1
大家有兴趣就看看
大概此wulm就是彼wulm吧
怎么说人家也是360的元老啊
水平咱不清楚
但为人就……
……………… |
朋友这招真高,
元老,无非是多呆了几天而己.我看了也不过如此也.嘻嘻!
没事别来捣乱,拿点真本事出来,让俺见识见识所谓的大作.学习学习.
不过俺菜鸟一只,有问题经常向猫叔请教的.
北燕南飞 - 2007-4-3 18:53:00
多谢猫叔了....^^;
桃子CiCi - 2007-4-3 18:59:00
多谢猫叔
wulm口气太大,我感觉有点愤愤!
这年头这种人还真不少,中国整体素质提不高,跟这有着莫大的关系!
孤独更可靠 - 2007-4-3 19:06:00
注入技术中...
服务级的Svchost.exe里其实是一个亮点...
按我说应该隐蔽性比较高,但是却很少有人注意..
即便注意了也不一定能发现..网上的答案无非说是svchost是微软windows操作系统的一个系统程序,用于执行dll文件...
然后理解后,就略过....由于MS设计问题,只能在注册表service项和某些特殊软件(例如冰刃或Sreng)才可以看得到注入的模块..
再观察几天,没人整理的话,本人不才写个小教程..
baohe - 2007-4-3 20:17:00
| 引用: |
【hotboy的贴子】俺的ca啊,再也装不上了,郁闷,郁闷
……………… |
我说————兄弟,别郁闷啦!
接着用Tiny吧。
土哦哦土@ - 2007-4-3 20:42:00
该用户帖子内容已被屏蔽
mailliyang - 2007-4-3 21:51:00
孤独要写关于SVCHOST的教程,很有必要啊,期待下!
thull - 2007-4-3 22:06:00
| 引用: |
【baohe的贴子】| 引用: | 【之乎者也的贴子】猫叔,请教几个问题
正在运行的进程
[PID: 668][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\E5CEBDF.DLL] [Microsoft Corporation, ]
这段日志提示:系统核心进程C:\WINDOWS\system32\csrss.exe被病毒模块插入了。插入此进程的病毒模块是C:\WINDOWS\system32\E5CEBDF.DLL。
这怎么看出来的?是那个问号吗?
另外你解决措施的(1)、(2)有什么区别?(1)就直接强制删除那个病毒进程文件,(2)先删除系统核心进程中的病毒模块,再删除病毒文件,是这样吗?谢谢猫叔了
……………… |
1、辨认系统进程中病毒模块问题:凭经验。正常系统中C:\WINDOWS\system32\文件夹中没有E5CEBDF.DLL这个文件(这个回答可能让你失望)。
2、用IceSword强制卸除系统进程中的病毒模块,实质是“结束病毒模块的运行状态”(一般来说,正在运行的文件是无法删除的)。
3、不结束病毒模块的运行状态而强制删除病毒模块文件的例子较少(这样做,要辅以特殊措施),据我的经验,也只有IceSword可以实现这种操作(尽管成功率不是100%)。那个Keygen.exe木马的处理就是个例子。强制删除病毒文件后,待硬盘无读写动作时,立即断开系统电源,即可奏效。这算个特例吧。
尽管是特例,但也是实践证明成功的例子,必要时可以考虑这样的方法。总之,手工杀毒讲究的是“灵活”,不必拘泥于什么“成规”。有时,就是要打破成规。
……………… |
嘿嘿 貌似那个多了个逗号 签名那 好象 菜鸟一个 说错话猫叔别笑话俺啊
thull - 2007-4-3 22:26:00
这年头 风太大了 马甲太多了 人心不古啊
但我坚信 听猫叔的没错
horseluke11 - 2007-4-3 23:27:00
另外一个是关于随机命名的病毒问题。
对付这样的病毒单靠INFO是没有办法的,但是可以利用组策略中的软件限制策略中的散列规则(如图)来加以阻止(在添加规则之前请确保病毒文件的存在)。
该方法也可用于已被未知威金和熊猫烧香等文件感染型病毒入侵但还不能够检测出来的时候进行被动恢复文件的辅助手段。
附件:
783644200743231725.gif
hotboy - 2007-4-3 23:42:00
| 引用: |
【baohe的贴子】
我说————兄弟,别郁闷啦!
接着用Tiny吧。
……………… |
也只能tiny了,看来只有format能解决ca的问题了,不甘心啊
horseluke11 - 2007-4-3 23:51:00
| 引用: |
【hotboy的贴子】
也只能tiny了,看来只有format能解决ca的问题了,不甘心啊
……………… |
想问一句ca的全称是?
平凡女子 - 2007-4-4 0:35:00
真的是好贴啊~~~楼主怎么不早贴出来啊~~~如果我早点看到,也许就不用把整个硬盘都格了~~~我31号中了毒,折腾了两天,重装了三次,还是杀不净,就像楼主说的,安全模式都进不去,不停的重启,但是又不能养着啊~~一是没养宠物的爱好,再一个我开网店的,又喜欢玩游戏,到时候帐号什么的还不都得让贼给惦记去了~~~最后一狠心,把整个硬盘全格了,连分区都重设了,让你个病毒再嚣张~~~只可怜了我那么多资料~~
平凡女子 - 2007-4-4 0:40:00
| 引用: |
【孤独更可靠的贴子】注入技术中...
服务级的Svchost.exe里其实是一个亮点...
按我说应该隐蔽性比较高,但是却很少有人注意..
即便注意了也不一定能发现..网上的答案无非说是svchost是微软windows操作系统的一个系统程序,用于执行dll文件...
然后理解后,就略过....由于MS设计问题,只能在注册表service项和某些特殊软件(例如冰刃或Sreng)才可以看得到注入的模块..
再观察几天,没人整理的话,本人不才写个小教程..
……………… |
举双手赞成"孤独更可靠"的提议,快点写个关于"svchost.exe"的教程吧~~~我就是让它给害苦了~~~明知道就是它有问题,可是找遍了网络也没有具体的解决方法~~终于还是把整个硬盘给格了~~~
aikakaka - 2007-4-4 8:38:00
猫叔的总结浅显易懂阿……赞
溶溶小月 - 2007-4-4 8:50:00
能不能说的更浅显易懂啊?比如我作为超级菜鸟应该在电脑里具备什么小软件,还能在同事火烧眉毛时能帮一小忙啊???
WINLOGEN\SVCHOST是个容易中招的进程,应该怎样防范呢?
踏雪无迹 - 2007-4-4 8:50:00
谢谢猫叔先,菜鸟我学习拉。。。。顶!!!!!!!!!
风歌叶舞 - 2007-4-4 10:08:00
(3)如果(1)、(2)均失败,可以尝试用SSM解决问题:将病毒模块录入SSM的规则中,禁止病毒模块加载。将SSM设置为“启动加载”。然后,重启系统。
(4)将病毒模块录入Tiny的黑名单。重启系统。
问个比较菜的问题:SSM 和TINY 是什么啊?是软件么?那里能下到?谢谢猫叔的帖子
脑盲啊闹忙 - 2007-4-4 11:02:00
大叔能告诉我Trojan.Spy.IeBho.e这个病毒怎么清除吗?谢谢哦
baohe - 2007-4-4 11:14:00
| 引用: |
【脑盲啊闹忙的贴子】大叔能告诉我Trojan.Spy.IeBho.e这个病毒怎么清除吗?谢谢哦
……………… |
请贴SRENG扫的日志
超级游戏迷 - 2007-4-4 11:37:00
只能说,猫版的经验超过我们想象的丰富,理论水平、实践经验兼而有之,叫人佩服!
脑盲啊闹忙 - 2007-4-4 11:48:00
【回复“baohe”的帖子】
在哪里的啊大叔?我是第一次上卡卡
脑盲啊闹忙 - 2007-4-4 11:52:00
【回复“脑盲啊闹忙”的帖子】
怎么用的呀?我人如其名的也。但是现在在学习中
脑盲啊闹忙 - 2007-4-4 12:31:00
大叔,我扫过了....但是不知道有用没哦
qqq4444 - 2007-4-4 12:33:00
太复杂了。做为一个电脑新手的我是看不明的。。
购买的正版瑞星又不杀不了的。晕死我。。
Trojan.PSW.OnlineGames.aao
Trojan.PSW.OnlineGames.os
就是这二个病毒杀了重启又有。
© 2000 - 2026 Rising Corp. Ltd.