123   2  /  3  页   跳转

[已关闭] 已删除

收藏
leasu
头像
初生襁褓狮
  • 帖子:527
  • 注册: 2005-01-08
  • 来自:
发表于: 2006-09-11 11:29 | 短消息 资料
字号: 11楼

很好,Ding
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 11:35 | 短消息 资料
字号: 12楼

【回复“taylor05771”的帖子】
将winlogon.exe植入真实XPSP2系统,不做其它任何操作。然后,分别用“cmd”和IceSword观察C:\WINDOWS\目录下的文件。
结果如下:

附件附件:

下载次数:123
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-11 11:35:51
描述:
预览信息:EXIF信息
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2006-09-11 11:55 | 只看楼主 短消息 资料
字号: 13楼

引用:
【baohe的贴子】【回复“taylor05771”的帖子】
将winlogon.exe植入真实XPSP2系统,不做其它任何操作。然后,分别用“cmd”和IceSword观察C:\WINDOWS\目录下的文件。
结果如下:
………………

baohe  没找到  文件???


看图  红框 

截图是  XP系统  纯净无毒的  植入后

删除方法  和 上面一样

附件附件:

下载次数:165
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-11 11:55:05
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 12:10 | 短消息 资料
字号: 14楼

引用:
【taylor05771的贴子】
baohe  没找到  文件???


看图  红框 

截图是  XP系统  纯净无毒的  植入后

删除方法  和 上面一样
………………

这只鸽子似乎经不住折腾。
继前次植入系统并将其清除后,再次将其植入系统。
不但在普通WINDOWS模式下即可以直接看到其文件——

附件附件:

下载次数:154
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-11 12:10:34
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 12:12 | 短消息 资料
字号: 15楼

而且可以在WINDOWS模式下直接将其删除——

附件附件:

下载次数:135
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-11 12:12:03
描述:
预览信息:EXIF信息
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2006-09-11 12:18 | 只看楼主 短消息 资料
字号: 16楼

baohe试试  感染后  不要清理

再感染一次 如何
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 13:57 | 短消息 资料
字号: 17楼

引用:
【taylor05771的贴子】baohe试试  感染后  不要清理

再感染一次 如何
………………

关闭所有安全软件,连续两次感染后,立即重启系统。任何安全软件都不随系统加载。
结果:

附件附件:

下载次数:215
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-11 13:57:20
描述:
预览信息:EXIF信息
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2006-09-11 14:30 | 只看楼主 短消息 资料
字号: 18楼

连续 感染两次 能不能 显示出  那个EXE?
gototop
 
甛甛圏οo
头像
健康舞勺狮
  • 帖子:318
  • 注册: 2006-08-20
  • 来自:
发表于: 2006-09-11 15:07 | 短消息 资料
字号: 19楼

楼主~~我用你的方法在DOS命令下没有找到winlogon.exe,但是用hijackthis却扫描到了,我贴出来给你看




这个是扫描的结果当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
F:\病毒清理工具\木马杀毒\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe

附件附件:

下载次数:130
文件类型:application/octet-stream
文件大小:
上传时间:2006-9-11 15:07:42
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 15:10 | 短消息 资料
字号: 20楼

引用:
【甛甛圏οo的贴子】楼主~~我用你的方法在DOS命令下没有找到winlogon.exe,但是用hijackthis却扫描到了,我贴出来给你看

………………

C:\WINDOWS\system32\winlogon.exe——正常系统文件。
我们说的不是这个。
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT