瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 安全技术讨论 » 3个工具搞掂"健康上网专家V3"
smallyou93 - 2009-5-28 3:11:00
卡饭原文:http://bbs.kafan.cn/thread-487724-1-1.html

下载安装玩了下,其实,不需要出动驱动级的工具,只要3个工具:WinRAR、Regworkshop、WinsockxpFix

首先设置为这样(按卡饭那帖的人所说的)


 附件: 您所在的用户组无法下载或查看附件

1.用WinRAR查看各核心文件的位置

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

打开ResWorkshop,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
挟持以下文件:
ftopt.exe
ftct.exe
lockscr.exe
security.exe

 附件: 您所在的用户组无法下载或查看附件

保存以下内容,保存到C:\Documents and Settings\All Users\「开始」菜单\程序\启动,保存为1.bat


引用:
attrib -h -s -r "C:\WINDOWS\ftopt.exe"
attrib -h -s -r "C:\WINDOWS\ftct.exe"
attrib -h -s -r "C:\Program Files\Feiteng3\lockscr.exe"
attrib -h -s -r "C:\Program Files\Feiteng3\security.exe"
del "C:\WINDOWS\ftopt.exe" /F /Q
del "C:\WINDOWS\ftct.exe" /F /Q
del "C:\Program Files\Feiteng3\lockscr.exe" /F /Q
del "C:\Program Files\Feiteng3\security.exe" /F /Q
md "C:\WINDOWS\ftopt.exe"
md "C:\WINDOWS\ftct.exe"
md "C:\Program Files\Feiteng3\lockscr.exe"
md "C:\Program Files\Feiteng3\security.exe"
attrib +h +s +r "C:\WINDOWS\ftopt.exe"
attrib +h +s +r "C:\WINDOWS\ftct.exe"
attrib +h +s +r "C:\Program Files\Feiteng3\lockscr.exe"
attrib +h +s +r "C:\Program Files\Feiteng3\security.exe"
rd ""C:\Program Files\Feiteng3\backup"" /S /Q




跟着重启

用户系统信息:Opera/9.64 (Windows NT 5.1; U; zh-cn) Presto/2.1.1
smallyou93 - 2009-5-28 3:19:00
重启后,显示隐藏文件

把Windows下的三个dll请出去(呵呵,跟猫叔学的一招)

在桌面新建一个文件夹,名为ftdrv.sys,然后把drivers目录下的ftdrv.sys改名为ftdrv1.sys

以速度的方式把ftdrv.sys文件夹复制过来,去掉限权(NTFS)

删除ftdrv1.sys
smallyou93 - 2009-5-28 3:24:00
打开ResWorkshop

删除
HKEY_CLASSES_ROOT\CLSID\{2607A95D-8E16-4C9F-9AF6-18872B4418D6}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ftdrv

去掉这个注册表的限权:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ftdrv

重启

重启后,

把Windows下的dll移动到桌面,再重启一次,就大概清理完成了(冰刃等能运行了)

:kaka6:还有漏网之鱼
 附件: 您所在的用户组无法下载或查看附件
最硬的石头 - 2009-5-28 3:28:00
:kaka12: 不错不错,我家晕4越来越强了,实力好了,体力也牛了,3点半发帖,:kaka6:
smallyou93 - 2009-5-28 3:36:00
:kaka6: 晕倒,刚才做还行的,现在做反而不行了:kaka4:

:kaka6:用了猫叔那招,成功了....
backway - 2009-5-28 12:29:00
我的做法:

http://bbs.kafan.cn/viewthread.php?tid=487724&page=5#pid7852324:kaka12:
backway - 2009-5-28 12:32:00
你事先都知道了它创建的文件 启动项 驱动了:kaka7:
aaccbbdd - 2009-5-28 12:34:00
PE里干倒多简单:kaka11:
smallyou93 - 2009-5-28 12:35:00
:kaka7: 我的虚拟机干净得很,所以它释放了什么文件我用WinRAR看看就知道了..
byxxdrls - 2009-5-28 15:36:00
晕4有作弊的嫌疑,就像小H所说。如果是根据时间来找文件的话,那也不是常规的完善的方法。
baohe - 2009-5-28 15:44:00
玩儿这种游戏,最好说明限制条件。
比如,它没禁止的autoruns能不能用?
如果允许使用autoruns,发现线索就不是什么难事。
接下来,用系统工具做点功课,找到它散布在%windows%目录、%system%目录以及系统驱动目录下的DD,这都不是什么难事。至于对付那些DD,能找到,就能灭。
1
查看完整版本: 3个工具搞掂"健康上网专家V3"
© 2000 - 2026 Rising Corp. Ltd.