12345   2  /  5  页   跳转

rootkit木马查杀实录

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-18 18:39 | 显示全部 短消息 资料
字号: 11楼

引用:
【deadfish的贴子】我新电脑中了这毒TROJAN。ROOTKIT。K
我按你的方法的做的。。
但是第三张图那。。我导出的文本里什么EXE文件都没有啊。。
怎么回事啊。。
另外瑞星帮我发现的rdriv.sys  因该就我是这毒的文件吧。。WINDOWS下找不到。。
能用什么办法直接删吗?快恢复我吧
...........................

在安全模式下用DLLCOMPARE扫的?扫的是C:\的.exe文件?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-18 19:00 | 显示全部 短消息 资料
字号: 12楼

引用:
【626917的贴子】DLLCOMPARE下了不能运行啊,版主再发一次啊
...........................

怎么可能呢?我传得附件是保证能使的。上传后,我自己会下载一次,解压,确定能运行使用。这是我传工具的习惯。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-18 21:50 | 显示全部 短消息 资料
字号: 13楼

引用:
【鱼儿上岸了的贴子】我电脑要搜索的是不是rdriv.sys啊?我怎么找不到呢?

而且DllCompare在XP下用不了,在98下才可以哦(PS:还好我家是双系统)
...........................

双系统就更省事了。如果你是在XP系统染的毒,启动到98,不用借助其它工具,按杀软提示的路径就能找到并删除病毒文件。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-18 22:06 | 显示全部 短消息 资料
字号: 14楼

引用:
【天天泡泡的贴子】还是不太懂Dllcompare的用法
...........................

就是“选择扫描路径”、“选择要扫的文件类型”、“选择是否扫子文件夹”。然后,再分别按那两个钮。结果出来后,转不转成TXT文件都可以。转了以后,看着清楚点儿。DLLCOMPARE——很简单的小工具,但关键时刻很管用。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-18 22:15 | 显示全部 短消息 资料
字号: 15楼

引用:
【深谷绝学的贴子】【回复“baohe”的帖子】
谢谢版主 辛苦拉
  但我下的你上传的附件killbox这个东东 我打开后 里面显示的和你帖图的不同哦 都没有(扫描)这个按钮 没有扫描这个按钮 根本就无法查 请指示。。
  ^_^
...........................

啊!!我下载一下,看看怎么回事。一会儿回复你。别走开。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-18 22:20 | 显示全部 短消息 资料
字号: 16楼

引用:
【深谷绝学的贴子】【回复“baohe”的帖子】
谢谢版主 辛苦拉
  但我下的你上传的附件killbox这个东东 我打开后 里面显示的和你帖图的不同哦 都没有(扫描)这个按钮 没有扫描这个按钮 根本就无法查 请指示。。
  ^_^
...........................

刚下载了,试过了——没问题(看下图)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-18 22:20:45
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 08:04 | 显示全部 短消息 资料
字号: 17楼

引用:
【不用金山的贴子】我把文件夹放到e盘里了  可是不管是在普通模式还是安全模式
dllcompare都不能打开 双击出一个对话框 Run-time error ''75 '':
Path/File  access error 
而killbox在两种模式下都能打开  怎么回事啊 
...........................

你楼上的"Qoo酷儿"已经说得很清楚了。听他的。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 11:12 | 显示全部 短消息 资料
字号: 18楼

引用:
【脑袋大了的贴子】....用GHOST恢复N遍,只要上网就会出现提示c:\windows\system32\rdriv.sys ,....

...........................

明显是“反复染毒”;而不是什么“杀不掉”。系统安全防护工作是用户自己的事,别人无法代替你做这些。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 11:33 | 显示全部 短消息 资料
字号: 19楼

引用:
【Handsome_001的贴子】【回复“baohe”的帖子】
帮我看看DLLCompare Log 里的有不有问题?
*    DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM\edakin.exe    Wed May  5 1999  22:22:00  ..SHR        220,333  215.17 K
C:\PROGRA~1\SYMANTEC\PCANYW~1\PACKAGER\RESOUR~1\0000\Total of file sizes:  171,024,632 bytes    163.10 M
________________________________________________

441 items found:  441 files (1 H/S), 0 directories.

--------------------End log---------------------

...........................

第一个:没见过。
第二个:诺顿的东东。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-19 13:56 | 显示全部 短消息 资料
字号: 20楼

引用:
【不用金山的贴子】DllCompare.exe  打不开  有人能告诉我为什么吗
...........................

Qoo酷儿答:DLLCOMPARE不能放置在带双字节的目录中运行,例如是中文命名的文件夹,即不能放置在“桌面”中运行。
gototop
 
<<上一主题|下一主题>>
12345   2  /  5  页   跳转
页面顶部
Powered by Discuz!NT