瑞星卡卡安全论坛
小职员online - 2007-6-28 21:03:00
| 引用: |
【�火影忍者的贴子】MS,在安全模式下应该可以直接搞定吧。。!!
……………… |
如果它帮你下载到了帕虫之类的病毒安全模式可就派不上用场罗
还有。我发现系统还原会把含毒的.dll和.sys备份进去。所以还是不要用系统还原了
baohe - 2007-6-28 21:05:00
| 引用: |
【小职员online的贴子】呵呵,我回你贴不是为了跟你争啥。
你自己贴子发的图就有与。dll文件同名的。exe。我还可以告诉你现在已经有在查看隐藏文件正常的情况下依旧能够把自己隐藏掉的,而且还不是NTFS数据流的.sys
如果对驱动服务不重视,那你在分析这些东西的时候只能解决表面现象。特别是现在很多恶意软件有利用到了Drv 注册这类rootkits技术,任何一个有心人可以在网上搞到类似代码。
……………… |
你怎么总习惯叉开话题?
我没有跟你争论什么。
讨论问题不可以?
你自己说:那几个删除不掉的dll可以通过IFEO劫持它们的同名.exe搞掂。我没这么说。
因为LYLOADER.DLL、TIMHost.DLL有同名.exe,所以其它.dll也有同名.exe?
老爸长胡子,长胡子的都是老爸?
小职员online - 2007-6-28 21:23:00
我只说你列出来的,并不是说所有的。
可能我表达有误,那么换个思路,你把你列出来的.exe都劫持掉,你可以看看这些还能不能删掉。
baohe - 2007-6-28 21:27:00
| 引用: |
【小职员online的贴子】我只说你列出来的,并不是说所有的。
可能我表达有误,那么这么说,你把你列出来的.exe都劫持掉,你可以看看这些还有没有。
……………… |
我建议你把帖子完整看一遍。包括后来你我之间的回复。
小职员online - 2007-6-28 21:34:00
楼主的快速按reset太虐待电脑。我觉得应该用IEFO把上述所列的.exe给劫持掉,才是比较好的解决方法
你似乎忽略了这句
涅磐86970 - 2007-6-28 21:39:00
受不了了
猫叔居然还这么有耐心的解释
baohe - 2007-6-28 21:45:00
| 引用: |
【小职员online的贴子】楼主的快速按reset太虐待电脑。我觉得应该用IEFO把上述所列的.exe给劫持掉,才是比较好的解决方法
你似乎忽略了这句
……………… |
我自己概括一下吧:
1、删除所有启动项、服务项。重启系统后,所有的.exe均能删除。
2、删除所有启动项、服务项。重启系统后,图中红框里的那几个.dll用普通方法在WINDOWS模式下删除不掉。所有已被删除的.exe并未“还魂”。
3、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll> [N/A]
这个启动项可以删除。删除后,只要不关闭电脑,无论何时,你用任何查看注册表的工具(包括IS)都看不到这个启动项了(证明删除了)。
4、重启系统后,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll> [N/A]又回来了。
5、只要这个启动项在,那几个.dll就照样插入应用程序进程,用普通方法,在WINDOWS模式下删不掉。
6、删除这个启动项,按reset。重启后,那些dll能删除。再次重启,按照原来的路径查找,图中所示的那些被删文件没有踪影。
小职员online - 2007-6-28 21:52:00
提问:你有没有把svtime.dll删掉?删除掉重启还会有?
newcenturymoon - 2007-6-28 21:53:00
| 引用: |
【baohe的贴子】
我没试改名这招。不知是否能成。
……………… |
最近总碰到过这样的病毒 重命名她就死了
baohe - 2007-6-28 21:53:00
我更想看看newcenturymoon 的“改名法”能否奏效。因为我没动手试过。
newcenturymoon - 2007-6-28 21:54:00
| 引用: |
【小职员online的贴子】楼主的快速按reset太虐待电脑。我觉得应该用IEFO把上述所列的.exe给劫持掉,才是比较好的解决方法
你似乎忽略了这句
……………… |
你试了么 病毒 自己试试 在这光说不练就是吹牛 试试你的想法 贴图上来 给大家看
baohe - 2007-6-28 21:55:00
| 引用: |
【小职员online的贴子】提问:你有没有把svtime.dll删掉?删除掉重启还会有?
……………… |
如果能删除svtime.dll,我还费这劲干吗?
newcenturymoon - 2007-6-28 21:56:00
| 引用: |
【baohe的贴子】我更想看看newcenturymoon 的“改名法”能否奏效。因为我没动手试过。
……………… |
C:\windows\system32\SvTime.dll这个重命名就可以 其他的不用 猫叔试试 我试过 很轻松的就干掉了
baohe - 2007-6-28 21:58:00
| 引用: |
【newcenturymoon的贴子】
C:\windows\system32\SvTime.dll这个重命名就可以 其他的不用 猫叔试试 我试过 很轻松的就干掉了
……………… |
得!
估计下一版,病毒作者该在文件防改名上下功夫了。
小职员online - 2007-6-28 22:02:00
呵呵,我早说了,我是公司网管,我的同事每天给我找麻烦,我一直用这招对付的。做个注册表文件,发给他们,效果不错。但一些机器反复出现这些.exe文件,所以我揪出了一些服务。嘎嘎
我的方法么其实很简单
碰到IEFO劫持,把regedit.exe改成regedit.scr,打开,到那个著名的IEFO下,病毒么就喜欢劫持到它的文件亚,那文件名就告诉你了。的么我debugger个C;\去你妈的。exe就没事情了。同理可以对付所有exe,com,pif文件哦
当然 .dll也是可以劫持的,但不是用debugger,呵呵。不过,现在好多病毒没想到,我也不说了,说出来又有新变种了,而且好像更严重。让有心人自己研究把。呵呵
小职员online - 2007-6-28 22:05:00
DOS下删?md个同名的
呵呵,windows下不能删说明啥呢?自然有东西保护它老,要么植入进程,要么写入驱动服务。常见的就这两招啦
四处奔波3388 - 2007-6-28 22:05:00
看不懂有载图吗?
小职员online - 2007-6-28 22:11:00
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\29C53A13.exe]
"debugger"="c:/1.com"
红色部分作成reg文件,导入。紫色部分爱劫那个文件写那个,别写windows关键进程就好了
四处奔波3388 - 2007-6-28 22:11:00
我的电脑也是这样的病毒,可上面的东西看不懂,有载图就好了,
能按步骤来杀!
小职员online - 2007-6-28 22:12:00
1。com也可以写一首诗歌吧
四处奔波3388 - 2007-6-28 22:16:00
不懂,reg文件?
都是英文.
唉!
就有这种dll病毒文件删不了!
有文字的吗?
小职员online - 2007-6-28 22:19:00
要么参阅下以前的文档。我要睡觉了,打字好累的。。。。
嘎嘎
四处奔波3388 - 2007-6-28 22:20:00
autoruns?
reset?
夏天的大雨 - 2007-6-28 23:44:00
好东西,谢谢了
303266474 - 2007-6-29 11:24:00
ms遇到过,没太注意.
xxxoxxx - 2007-6-29 15:37:00
顶
姑苏残月 - 2007-6-29 16:12:00
现在想想 ,发现前段时间处理的 病毒和这个很像,可惜当时时间匆忙,只处理了病毒文件,未考虑到修复问题。结果损失了N多EXE
安全防卫 - 2007-6-29 16:31:00
刚中过这病毒.已经搞定了.卡吧现在也能清理其中的维金感染的病毒文件.这病毒会在system32下面生成一大堆的文件.
用冰刃删除即可.
维金感染的文件开始变花,后来变成白板.
安全防卫 - 2007-6-29 16:33:00
这个维金好像农夫的专杀搞不定....
农夫的专杀病毒库麻烦版主加一下...
安全防卫 - 2007-6-29 16:33:00
这个维金好像农夫的专杀搞不定....
农夫的专杀病毒库麻烦版主加一下...
© 2000 - 2026 Rising Corp. Ltd.