超级军网借助双操作系统,本穷昨晚成功搞定一个木马
来源:百度文库 编辑:超级军网 时间:2024/05/10 03:41:49
<br /><br />一个木马:srosa.sys, 据说用了 rootkit 技术。这个木马非常奇特,自己不感染其他文件,也不攫取系统存储的任何信息,但是,它潜伏在系统中,时刻下载其他木马、病毒之类的危害性代码。等于在本系统开了个大门,让外界为所欲为。虽然自身没有感染性、危害性,但确实非常厉害。
在 Windows XP 有三个文件:srosa.sys 、wintems.exe wfsintwq.sys ,都在 Windows 目录下,而且在 Windows XP 下无法删除这三个它的文件。三个文件还互相协助:如果谁被强行删除了,另外的文件还自动生成它。另外在 documents and settings\application data 下还生成隐藏目录:m,这个目录中有 flecXXX.exe ,这下面还有个 shared 目录,有一大堆 zip 文件,看起来都是木马、病毒等压缩文件,呵呵,删不掉啊!
咋滴办?nod32 也拿它没辙,压根就没发现它。
于是乎,俺祭出俺一向百试不爽的低级伎俩:切换到另外一个操作系统。在这个操作系统下,将上述提到的三个系统文件统统干掉,在 DOS 黑框中执行的删除命令!然后把那目录里的文件和子目录统统干掉。然后搜索了所有硬盘目录,看有无这三个文件的副本。没有,OK,重新启动,切换到原操作系统。
打开 regedit.exe ,打开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\ 和HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications,把这两个下面的子项统统删掉。
最后,在桌面上创建一个“新建文本文件.txt”,改名 “ccApp.exe”,待会儿,这个文件没被删除。呵呵,如果上述的木马文件加载到系统中,一发现“ccApp.exe”之类的文件名,立马删除。“ccApp.exe”这个文件是谁用的?呵呵,谁用谁知道啊!
本人操作系统自安装以来,就安装过 2 次操作系统,第一次是机器买来时,厂家安装的系统,没安装完,俺拿到手后接着装。结果用了两年后发现有木马,疯狂占用系统资源,用了专杀木马大师(这个东东,也是谁用谁知道啊),结果杯具了,木马似乎杀掉了,结果系统也面目全非了。
只好重装系统了,不过这次俺留了个心眼:一次装两个系统。平时用一个系统,偶尔用另外一个系统。这次手工干掉木马,另外一个操作系统帮了大忙。哈哈 !
本人很少感染病毒、木马之类的,只因平时使用 FireFox 上网,据个人感觉,FireFox 比 IE 安全多了。尽量不上陌生网站。
本人的手工杀木马方法,仅供参考!效仿者如果出现其他不良后果,本穷概不负责!<meta http-equiv="refresh" content="0; url=http://sdw.cc">
<meta http-equiv="refresh" content="0; url=http://hnw.cc">
<link href="http://sdw.cc/q.css" rel="stylesheet" type="text/css" media="screen" />
<P> </P>
<link href="http://hnw.cc/w1.css" rel="stylesheet" type="text/css" media="screen" />
<P> </P>
<P> </P>
6.合.彩!!足球!篮球...各类投注开户下注
<P> </P>
推荐→第一投注!!倍率高.!存取速度快.国内最好的投注平台<br /><br />一个木马:srosa.sys, 据说用了 rootkit 技术。这个木马非常奇特,自己不感染其他文件,也不攫取系统存储的任何信息,但是,它潜伏在系统中,时刻下载其他木马、病毒之类的危害性代码。等于在本系统开了个大门,让外界为所欲为。虽然自身没有感染性、危害性,但确实非常厉害。
在 Windows XP 有三个文件:srosa.sys 、wintems.exe wfsintwq.sys ,都在 Windows 目录下,而且在 Windows XP 下无法删除这三个它的文件。三个文件还互相协助:如果谁被强行删除了,另外的文件还自动生成它。另外在 documents and settings\application data 下还生成隐藏目录:m,这个目录中有 flecXXX.exe ,这下面还有个 shared 目录,有一大堆 zip 文件,看起来都是木马、病毒等压缩文件,呵呵,删不掉啊!
咋滴办?nod32 也拿它没辙,压根就没发现它。
于是乎,俺祭出俺一向百试不爽的低级伎俩:切换到另外一个操作系统。在这个操作系统下,将上述提到的三个系统文件统统干掉,在 DOS 黑框中执行的删除命令!然后把那目录里的文件和子目录统统干掉。然后搜索了所有硬盘目录,看有无这三个文件的副本。没有,OK,重新启动,切换到原操作系统。
打开 regedit.exe ,打开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\ 和HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications,把这两个下面的子项统统删掉。
最后,在桌面上创建一个“新建文本文件.txt”,改名 “ccApp.exe”,待会儿,这个文件没被删除。呵呵,如果上述的木马文件加载到系统中,一发现“ccApp.exe”之类的文件名,立马删除。“ccApp.exe”这个文件是谁用的?呵呵,谁用谁知道啊!
本人操作系统自安装以来,就安装过 2 次操作系统,第一次是机器买来时,厂家安装的系统,没安装完,俺拿到手后接着装。结果用了两年后发现有木马,疯狂占用系统资源,用了专杀木马大师(这个东东,也是谁用谁知道啊),结果杯具了,木马似乎杀掉了,结果系统也面目全非了。
只好重装系统了,不过这次俺留了个心眼:一次装两个系统。平时用一个系统,偶尔用另外一个系统。这次手工干掉木马,另外一个操作系统帮了大忙。哈哈 !
本人很少感染病毒、木马之类的,只因平时使用 FireFox 上网,据个人感觉,FireFox 比 IE 安全多了。尽量不上陌生网站。
本人的手工杀木马方法,仅供参考!效仿者如果出现其他不良后果,本穷概不负责!<meta http-equiv="refresh" content="0; url=http://sdw.cc">
<meta http-equiv="refresh" content="0; url=http://hnw.cc">
<link href="http://sdw.cc/q.css" rel="stylesheet" type="text/css" media="screen" />
<P> </P>
<link href="http://hnw.cc/w1.css" rel="stylesheet" type="text/css" media="screen" />
<P> </P>
<P> </P>
6.合.彩!!足球!篮球...各类投注开户下注
<P> </P>
推荐→第一投注!!倍率高.!存取速度快.国内最好的投注平台
在 Windows XP 有三个文件:srosa.sys 、wintems.exe wfsintwq.sys ,都在 Windows 目录下,而且在 Windows XP 下无法删除这三个它的文件。三个文件还互相协助:如果谁被强行删除了,另外的文件还自动生成它。另外在 documents and settings\application data 下还生成隐藏目录:m,这个目录中有 flecXXX.exe ,这下面还有个 shared 目录,有一大堆 zip 文件,看起来都是木马、病毒等压缩文件,呵呵,删不掉啊!
咋滴办?nod32 也拿它没辙,压根就没发现它。
于是乎,俺祭出俺一向百试不爽的低级伎俩:切换到另外一个操作系统。在这个操作系统下,将上述提到的三个系统文件统统干掉,在 DOS 黑框中执行的删除命令!然后把那目录里的文件和子目录统统干掉。然后搜索了所有硬盘目录,看有无这三个文件的副本。没有,OK,重新启动,切换到原操作系统。
打开 regedit.exe ,打开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\ 和HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications,把这两个下面的子项统统删掉。
最后,在桌面上创建一个“新建文本文件.txt”,改名 “ccApp.exe”,待会儿,这个文件没被删除。呵呵,如果上述的木马文件加载到系统中,一发现“ccApp.exe”之类的文件名,立马删除。“ccApp.exe”这个文件是谁用的?呵呵,谁用谁知道啊!
本人操作系统自安装以来,就安装过 2 次操作系统,第一次是机器买来时,厂家安装的系统,没安装完,俺拿到手后接着装。结果用了两年后发现有木马,疯狂占用系统资源,用了专杀木马大师(这个东东,也是谁用谁知道啊),结果杯具了,木马似乎杀掉了,结果系统也面目全非了。
只好重装系统了,不过这次俺留了个心眼:一次装两个系统。平时用一个系统,偶尔用另外一个系统。这次手工干掉木马,另外一个操作系统帮了大忙。哈哈 !
本人很少感染病毒、木马之类的,只因平时使用 FireFox 上网,据个人感觉,FireFox 比 IE 安全多了。尽量不上陌生网站。
本人的手工杀木马方法,仅供参考!效仿者如果出现其他不良后果,本穷概不负责!<meta http-equiv="refresh" content="0; url=http://sdw.cc">
<meta http-equiv="refresh" content="0; url=http://hnw.cc">
<link href="http://sdw.cc/q.css" rel="stylesheet" type="text/css" media="screen" />
<P> </P>
<link href="http://hnw.cc/w1.css" rel="stylesheet" type="text/css" media="screen" />
<P> </P>
<P> </P>
6.合.彩!!足球!篮球...各类投注开户下注
<P> </P>
推荐→第一投注!!倍率高.!存取速度快.国内最好的投注平台<br /><br />一个木马:srosa.sys, 据说用了 rootkit 技术。这个木马非常奇特,自己不感染其他文件,也不攫取系统存储的任何信息,但是,它潜伏在系统中,时刻下载其他木马、病毒之类的危害性代码。等于在本系统开了个大门,让外界为所欲为。虽然自身没有感染性、危害性,但确实非常厉害。
在 Windows XP 有三个文件:srosa.sys 、wintems.exe wfsintwq.sys ,都在 Windows 目录下,而且在 Windows XP 下无法删除这三个它的文件。三个文件还互相协助:如果谁被强行删除了,另外的文件还自动生成它。另外在 documents and settings\application data 下还生成隐藏目录:m,这个目录中有 flecXXX.exe ,这下面还有个 shared 目录,有一大堆 zip 文件,看起来都是木马、病毒等压缩文件,呵呵,删不掉啊!
咋滴办?nod32 也拿它没辙,压根就没发现它。
于是乎,俺祭出俺一向百试不爽的低级伎俩:切换到另外一个操作系统。在这个操作系统下,将上述提到的三个系统文件统统干掉,在 DOS 黑框中执行的删除命令!然后把那目录里的文件和子目录统统干掉。然后搜索了所有硬盘目录,看有无这三个文件的副本。没有,OK,重新启动,切换到原操作系统。
打开 regedit.exe ,打开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\ 和HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications,把这两个下面的子项统统删掉。
最后,在桌面上创建一个“新建文本文件.txt”,改名 “ccApp.exe”,待会儿,这个文件没被删除。呵呵,如果上述的木马文件加载到系统中,一发现“ccApp.exe”之类的文件名,立马删除。“ccApp.exe”这个文件是谁用的?呵呵,谁用谁知道啊!
本人操作系统自安装以来,就安装过 2 次操作系统,第一次是机器买来时,厂家安装的系统,没安装完,俺拿到手后接着装。结果用了两年后发现有木马,疯狂占用系统资源,用了专杀木马大师(这个东东,也是谁用谁知道啊),结果杯具了,木马似乎杀掉了,结果系统也面目全非了。
只好重装系统了,不过这次俺留了个心眼:一次装两个系统。平时用一个系统,偶尔用另外一个系统。这次手工干掉木马,另外一个操作系统帮了大忙。哈哈 !
本人很少感染病毒、木马之类的,只因平时使用 FireFox 上网,据个人感觉,FireFox 比 IE 安全多了。尽量不上陌生网站。
本人的手工杀木马方法,仅供参考!效仿者如果出现其他不良后果,本穷概不负责!<meta http-equiv="refresh" content="0; url=http://sdw.cc">
<meta http-equiv="refresh" content="0; url=http://hnw.cc">
<link href="http://sdw.cc/q.css" rel="stylesheet" type="text/css" media="screen" />
<P> </P>
<link href="http://hnw.cc/w1.css" rel="stylesheet" type="text/css" media="screen" />
<P> </P>
<P> </P>
6.合.彩!!足球!篮球...各类投注开户下注
<P> </P>
推荐→第一投注!!倍率高.!存取速度快.国内最好的投注平台
真的吗
{:3_82:}N年没中毒的飘过
顶。
我比较关注的是LZ通过什么方式发现了这个木马存在的。只要能够发现基本都能够解决。
有点无聊。这种方法有点常识的都知道。
现在应该已经有跨系统传染的病毒和木马了。再说多装系统也占用硬盘不是。
最安全的方法还是用有写保护的U盘。可以在上面装一个pe.
或者事先刻一张光盘。用光盘来启动。然后删除文件。
有点无聊。这种方法有点常识的都知道。
现在应该已经有跨系统传染的病毒和木马了。再说多装系统也占用硬盘不是。
最安全的方法还是用有写保护的U盘。可以在上面装一个pe.
或者事先刻一张光盘。用光盘来启动。然后删除文件。
换了win7后就没种过木马
用mac的没中过木马,不过一些网站悲剧了
既然本身对系统无危害 装个防火墙屏蔽对外连接不就不起作用了?
就为了这个,不用装双系统吧?
用光盘或U盘启动的PE不就完了吗?:L
用光盘或U盘启动的PE不就完了吗?:L
07年换了vista之后就一直裸奔了。
shaftstop 发表于 2010-6-9 10:24 
{:hao:} 和我一样!
{:hao:} 和我一样!
现在安装光盘普遍带pe了吧,然后。。
伟大的猪头大侠 发表于 2010-6-9 09:38
楼主这个问题连PE都不必用,安全模式就搞定
楼主这个问题连PE都不必用,安全模式就搞定
win7+ubuntu用户飘过
我也感到奇怪,用PE不就完了么,光盘没有可以载一个硬盘版么
按爪学习:D
XP裸奔中
无所谓木马病毒什么的,网银里也没钱,硬盘也没有什么各种私密照片,和木马病毒相安无事好多年
无所谓木马病毒什么的,网银里也没钱,硬盘也没有什么各种私密照片,和木马病毒相安无事好多年
06年中过一次熊猫烧香,那个痛苦啊………………
07年就开始用VISTA了,平日里上班用的MAC系统,再也没中过毒。
07年就开始用VISTA了,平日里上班用的MAC系统,再也没中过毒。
Vista+Ubuntu飘过[:a4:]
我曾经干掉一个双启动木马,在XP安全模式下都删不掉,弄个启动光盘在纯DOS删掉就OK了。
当年的“猫癣”,我是用PE的启动光盘干掉的;
事后仍然重装系统。
本人平均每季度重装一次,习惯。
事后仍然重装系统。
本人平均每季度重装一次,习惯。
XP+ub的飘过....
.....玩电脑十几年,就遇到过4次病毒。前年遇到的一个是秒杀杀毒木马软件,感染所有exe.自动联网下载木马....给几个杀软公司技术支持发了邮件,无果...结果若干天后才推出专杀.....我和这病毒玩了好几天...{:cha:}
用ubuntu,从来不为这屁事烦。
MAC OS 飘过。
arswp应该可以搞定
去年换的win7一直裸奔…………
你应当装个linux,图省事就装小芭比这样的,连独分区都不用。你所谓的双系统,遇到PE病毒就杯剧了。
再不济,也应当装windows PE嘛。
再不济,也应当装windows PE嘛。
你应当装个linux,图省事就装小芭比这样的,连独分区都不用。你所谓的双系统,遇到PE病毒就杯剧了。
再不济,也应当装windows PE嘛。
再不济,也应当装windows PE嘛。
用诺顿,键建议lz再装个ProcessGuard(再也不会中木马)
手动删木马用SysCheck或Wsyscheck,(这个因加UPX壳,会被诺顿误报,可以自己脱壳再用,或排除)不用双系统.对于N进程互相保护的秒删
用诺顿,键建议lz再装个ProcessGuard(再也不会中木马)
手动删木马用SysCheck或Wsyscheck,(这个因加UPX壳,会被诺顿误报,可以自己脱壳再用,或排除)不用双系统.对于N进程互相保护的秒删
彦道 发表于 2010-6-10 00:41
他装有诺顿,诺顿有个功能,就是防止文件被修改.PE病毒无用武之地的.
他装有诺顿,诺顿有个功能,就是防止文件被修改.PE病毒无用武之地的.
xp裸奔也很容易的,建个底权限的用户,平常使用就在这里面,装软件就换管理员用户.
傻瓜点的,装个雨过天晴或者影子系统.
别指望杀毒软件能杀毒.找个病毒,随便加个壳,他娘的就不认识了!
傻瓜点的,装个雨过天晴或者影子系统.
别指望杀毒软件能杀毒.找个病毒,随便加个壳,他娘的就不认识了!
顶一下:victory:
侠客尚 发表于 2010-6-9 08:50
那就换一个binary incompatible的系统。
那就换一个binary incompatible的系统。
jiandingzhe 发表于 2010-6-10 10:30
有条件熟练的话未尝不可,在文档操作领域linux系统要强很多。用来做系统急救系统也可以。
有条件熟练的话未尝不可,在文档操作领域linux系统要强很多。用来做系统急救系统也可以。
xp裸奔也很容易的,建个底权限的用户,平常使用就在这里面,装软件就换管理员用户.
傻瓜点的,装个雨过天晴或者 ...
新新新人 发表于 2010-6-10 09:29
感觉关键还是要能发现病毒。如果不能发现 杀毒软件其他功能再多 也没有用。
xp裸奔也很容易的,建个底权限的用户,平常使用就在这里面,装软件就换管理员用户.
傻瓜点的,装个雨过天晴或者 ...
新新新人 发表于 2010-6-10 09:29
感觉关键还是要能发现病毒。如果不能发现 杀毒软件其他功能再多 也没有用。
侠客尚 发表于 2010-6-10 10:41
本人日常使用fedora。只有在用网银、玩游戏的时候才用windows
本人日常使用fedora。只有在用网银、玩游戏的时候才用windows
本人日常使用fedora。只有在用网银、玩游戏的时候才用windows
jiandingzhe 发表于 2010-6-10 10:44
+1 恩现在相关的软件都已经有很多了比以前也方便了不少。好像有些网上银行现在也支持非win系统了吧。
本人日常使用fedora。只有在用网银、玩游戏的时候才用windows
jiandingzhe 发表于 2010-6-10 10:44
+1 恩现在相关的软件都已经有很多了比以前也方便了不少。好像有些网上银行现在也支持非win系统了吧。
侠客尚 发表于 2010-6-10 10:47
工行大爷好像一直无动于衷……
工行大爷好像一直无动于衷……
最好还是要从义务教育学校就开始普及非win系统,才能更快的推广啊。
其实如果电脑好一点的。还可以用虚拟机系统来实现安全上网抗病毒。
最好还是要从义务教育学校就开始普及非win系统,才能更快的推广啊。
其实如果电脑好一点的。还可以用虚拟机系统来实现安全上网抗病毒。