当前位置: 操作系统/服务器>windows
本页文章导读:
▪,落雪木马变种 求助,落雪木马变种求助,落雪木马变种 小弟最近中了落雪木马的变种 在C,D,E,F,G,H各盘下都有隐藏的AUTORUN.INF和pagefile.pif 任务管理器有2个进程分别伪装成lsass和smss并且相互守护,.........
▪ mbr里怎么写入自己的程式 mbr里如何写入自己的程式?就是希望在系统启动时,让它主动加载自己的程式。须将一部分引导程序放进mbr里,如何实现哦?????大小限制是多少哦??(不是搞木马的啊)MBR在硬盘的0.........
▪ 老师:收邮件时老是提醒小弟我IE发生异常,无法收邮件,请教这是为什么 老师:收邮件时老是提醒我IE发生错误,无法收邮件,请问这是为什么?各位老师: 我想请教一个问题。我的机器是刚买的联想笔记本电脑。商场给装的XP。商场也装了NORTON,.........
[1],落雪木马变种
来源: 互联网 发布时间: 2014-02-18
求助,落雪木马变种
求助,落雪木马变种
小弟最近中了落雪木马的变种
在C,D,E,F,G,H各盘下都有隐藏的AUTORUN.INF和pagefile.pif
任务管理器有2个进程分别伪装成lsass和smss并且相互守护,文件在c:\windows\systerm32\com下
用尽各种办法都无法彻底删除
结束了2进程,删除了上述的所有文件,启动里禁止了一切可能的程序,注册表删除了所有带AUTORUN.INF和pagefile.pif的健值。最后用江民落雪专杀查杀全盘
清除完后一段时间没有出现
重启也没问题。
但不久莫名出现
好像在什么程序里或者文件夹里。
用干净的注册表恢复也不行
我曾删除了所有中毒当日及以后的文件,也不行啊
PEID看了下,加了FSG 2.0 -> bart/xt壳,卡巴不能识别
请问究竟怎么才能彻底摆平啊,这个很明显是变种,网上的特征和这个不是很像啊
快让他折腾疯了,各位高人大虾,快看过来啊
哪位朋友对汇编或者破解比较擅长和感兴趣,小弟把它发给你研究一下,顺便帮偶看看它究竟做了哪些改动啊
楼主可以试试 Dr.Web CureIt 和 Windows 清理大师
瑞星卡卡不是宣称能杀加壳的嘛,你用下试试
不嫌麻烦可以用SREng扫描下,把日志贴上来,然大家帮你找找关联文件和服务
既然在C,D,E,F,G,H各盘下都有隐藏的AUTORUN.INF和pagefile.pif有文件,那执行下
pagefile.pif这个文件,然后进行监控,不就可以把所以后门都找出来了吗?
求助,落雪木马变种
小弟最近中了落雪木马的变种
在C,D,E,F,G,H各盘下都有隐藏的AUTORUN.INF和pagefile.pif
任务管理器有2个进程分别伪装成lsass和smss并且相互守护,文件在c:\windows\systerm32\com下
用尽各种办法都无法彻底删除
结束了2进程,删除了上述的所有文件,启动里禁止了一切可能的程序,注册表删除了所有带AUTORUN.INF和pagefile.pif的健值。最后用江民落雪专杀查杀全盘
清除完后一段时间没有出现
重启也没问题。
但不久莫名出现
好像在什么程序里或者文件夹里。
用干净的注册表恢复也不行
我曾删除了所有中毒当日及以后的文件,也不行啊
PEID看了下,加了FSG 2.0 -> bart/xt壳,卡巴不能识别
请问究竟怎么才能彻底摆平啊,这个很明显是变种,网上的特征和这个不是很像啊
快让他折腾疯了,各位高人大虾,快看过来啊
哪位朋友对汇编或者破解比较擅长和感兴趣,小弟把它发给你研究一下,顺便帮偶看看它究竟做了哪些改动啊
楼主可以试试 Dr.Web CureIt 和 Windows 清理大师
瑞星卡卡不是宣称能杀加壳的嘛,你用下试试
不嫌麻烦可以用SREng扫描下,把日志贴上来,然大家帮你找找关联文件和服务
既然在C,D,E,F,G,H各盘下都有隐藏的AUTORUN.INF和pagefile.pif有文件,那执行下
pagefile.pif这个文件,然后进行监控,不就可以把所以后门都找出来了吗?
[2] mbr里怎么写入自己的程式
来源: 互联网 发布时间: 2014-02-18
mbr里如何写入自己的程式?
就是希望在系统启动时,让它主动加载自己的程式。须将一部分引导程序放进mbr里,
如何实现哦?????
大小限制是多少哦??
(不是搞木马的啊)
MBR在硬盘的0面0道1扇区,一个扇区是512字节
分区表由4项组成,每项16个字节.共4×16 = 64个字节
你可以先把硬盘的0面0道1扇区的数据写到0面0道2扇区,然后修改原来的MBR,先运行自己的代码,最后再读入0面0道2扇区到内存,跳转到该地址就OK了。
探讨
那也就是说给我的空间只有512bytes了
很小啊
就是希望在系统启动时,让它主动加载自己的程式。须将一部分引导程序放进mbr里,
如何实现哦?????
大小限制是多少哦??
(不是搞木马的啊)
MBR在硬盘的0面0道1扇区,一个扇区是512字节
分区表由4项组成,每项16个字节.共4×16 = 64个字节
你可以先把硬盘的0面0道1扇区的数据写到0面0道2扇区,然后修改原来的MBR,先运行自己的代码,最后再读入0面0道2扇区到内存,跳转到该地址就OK了。
探讨
那也就是说给我的空间只有512bytes了
很小啊
[3] 老师:收邮件时老是提醒小弟我IE发生异常,无法收邮件,请教这是为什么
来源: 互联网 发布时间: 2014-02-18
老师:收邮件时老是提醒我IE发生错误,无法收邮件,请问这是为什么?
各位老师:
我想请教一个问题。我的机器是刚买的联想笔记本电脑。商场给装的XP。商场也装了NORTON,并且我都及时地升了级。我没上过黄色网站之类的危险网站。我一直用的是SOHU的免费邮箱。但我这一个月来,好几次登进我的邮箱,刚一看到未读邮件的标题,XP系统就弹出一警告框,大概意思是IE遇到问题,叫我发送什么错误报告,我当然没发送,于是整个页面(包括SOHU网站)立刻关闭。当然,重开SOHU网看新闻什么的还可以(只是不能读邮件)。我用norton杀毒,没发现有毒。有时候我一键恢复后,系统又一切正常;有时候怎么鼓捣都没法阅读邮件。而且,我的邮箱是经常在用的,不明邮件我都没打开过。难道我的系统有问题?难道SOHU邮件有时候自己出了问题?
请问这是为什么呢?谢谢您啊!祝贺老师新年快乐!!
你用 一键恢复 后,系统能正常,估计你的系统还是感染了病毒木马造成的,用 outlook 来收发可能会好一些,当然也可能存在网站上的原因。BTW:norton对付木马感觉效果不是很好,试试 ewido来查杀一下看看。
当你不能正常使用的时候 把故障现象描述一下
尤其是 错误代码什么的。。
错误的话一定有提示
各位老师:
我想请教一个问题。我的机器是刚买的联想笔记本电脑。商场给装的XP。商场也装了NORTON,并且我都及时地升了级。我没上过黄色网站之类的危险网站。我一直用的是SOHU的免费邮箱。但我这一个月来,好几次登进我的邮箱,刚一看到未读邮件的标题,XP系统就弹出一警告框,大概意思是IE遇到问题,叫我发送什么错误报告,我当然没发送,于是整个页面(包括SOHU网站)立刻关闭。当然,重开SOHU网看新闻什么的还可以(只是不能读邮件)。我用norton杀毒,没发现有毒。有时候我一键恢复后,系统又一切正常;有时候怎么鼓捣都没法阅读邮件。而且,我的邮箱是经常在用的,不明邮件我都没打开过。难道我的系统有问题?难道SOHU邮件有时候自己出了问题?
请问这是为什么呢?谢谢您啊!祝贺老师新年快乐!!
你用 一键恢复 后,系统能正常,估计你的系统还是感染了病毒木马造成的,用 outlook 来收发可能会好一些,当然也可能存在网站上的原因。BTW:norton对付木马感觉效果不是很好,试试 ewido来查杀一下看看。
当你不能正常使用的时候 把故障现象描述一下
尤其是 错误代码什么的。。
错误的话一定有提示
最新技术文章: