中毒了，朋友们救救我-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
半岛铁盒雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 53 粉丝 0 关注私信	半岛铁盒 2 楼上面是被挂钩函数这个 C:\Windows\System32\Drivers\spkz.sys 每次重启电脑文件名都会改变该路径下也找不到相对应的驱动 2010-9-24 14:39 0
半岛铁盒雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 53 粉丝 0 关注私信	半岛铁盒 3 楼 C:\Windows\System32\drivers\etc etc 文件夹也被改名了改成了一串数字 2010-9-24 14:43 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 4 楼 spxx.sys不是病毒，是带毛兔子的sys，每次重启都会改掉自己名字的后两个字母。 2010-9-24 14:55 0
enthos 雪币： 2109 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	enthos 5 楼我以前中过类似的, 用Linux cdrom/USB 开机可删. http://blog.sina.com.cn/s/blog_59a0d4260100a098.html 一个小巧强大的Boot工具，无需BIOS支持实现U盘启动 2009 年 2 月写的: 推荐 PLoP Linux; LiveCD, USB boot, PXE network boot, antivirus, rescue http://www.plop.at/en/ploplinux.html 可以不用烧录 CD, 节省资源。我之前是用 linux knoppix cdrom 开机: 输入 linux 2 (文字模式开机较快) # cd /ramdisk # fdisk -l Disk /dev/sda: 164.6 GB, 164696555520 bytes 255 heads, 63 sectors/track, 20023 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Device Boot Start End Blocks Id System /dev/sda1 1 244 1959898+ 83 Linux /dev/sda2 245 6324 48837600 83 Linux /dev/sda3 6325 12404 48837600 83 Linux /dev/sda4 12405 20023 61199617+ 83 Linux System 是 HPFS/NTFS 或 FAT 的就是 windows. 我的 IBM notebook 是 /dev/hda1 而且 c:\i386 是 XP files. 所以 # cd /ramdisk # mkdir /c # mount /dev/hda1 /c # wget http://dl.antivir.de/down/vdf/rescuecd/rescuecd.iso # mkdir /ramdisk/r # mount rescuecd.iso /ramdisk/r -o loop,ro # cd /ramdisk/r/antivir # ./antivir >& /ramdisk/virlog01.txt 或#./antivir -s /c/WINDOWS >& /ramdisk/virlogwindows.log # mkdir /c/virinfo # mv /ramdisk/virlog01.txt /c/virinfo # cd /c/WINDOWS/system32/drivers # ls -la > /c/virinfo/dirdriversinlinux.txt # mkdir /c/vir <% 假设中了 9aaa.com IE 首页病毒 http://baike.360.cn/4024037/18915635.html?page=2 %> # mv /c/WINDOWS/system32/drivers/sarqlyku.sys /c/vir/ <% 看小红伞 scan log %> # less -r /c/virinfo/virlog01.txt # mv /c/WINDOWS/system32/xxxx /c/vir/ <% linux 的 windows password/registry 工具 http://home.eunet.no/pnordahl/ntpasswd/chntpw-source-080526.zip http://home.eunet.no/pnordahl/ntpasswd/ 备分 registry mkdir /c/bak cp -Ra /c/WINDOWS/system32/config /c/bak/ %> <% mscompress cabextract www.cabextract.org.uk/ XP cdrom 上有 I386 目录. %> # cd /ramdisk/ # cp /c/I386/SVCHOST.EX_ /ramdisk # cabextract SVCHOST.EX_ extracting svchost.exe # md5sum svchost.exe ccfc400f3305a61cbd8ad2a6f5671e4b svchost.exe # md5sum /c/WINDOWS/system32/svchost.exe ccfc400f3305a61cbd8ad2a6f5671e4b /c/WINDOWS/system32/svchost.exe <% http://file.ikaka.com/ %> 2010-9-24 14:57 0
半岛铁盒雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 53 粉丝 0 关注私信	半岛铁盒 6 楼带毛兔子是什么啊？ 2010-9-24 16:11 0
半岛铁盒雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 53 粉丝 0 关注私信	半岛铁盒 7 楼哦是不是虚拟光驱？为什么每次启动都要改变名字呢 2010-9-24 16:13 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 8 楼 Daemon Tools 2010-9-24 23:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
半岛铁盒雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 53 粉丝 0 关注私信	半岛铁盒 2 楼上面是被挂钩函数这个 C:\Windows\System32\Drivers\spkz.sys 每次重启电脑文件名都会改变该路径下也找不到相对应的驱动 2010-9-24 14:39 0
半岛铁盒雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 53 粉丝 0 关注私信	半岛铁盒 3 楼 C:\Windows\System32\drivers\etc etc 文件夹也被改名了改成了一串数字 2010-9-24 14:43 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 4 楼 spxx.sys不是病毒，是带毛兔子的sys，每次重启都会改掉自己名字的后两个字母。 2010-9-24 14:55 0
enthos 雪币： 2109 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	enthos 5 楼我以前中过类似的, 用Linux cdrom/USB 开机可删. http://blog.sina.com.cn/s/blog_59a0d4260100a098.html 一个小巧强大的Boot工具，无需BIOS支持实现U盘启动 2009 年 2 月写的: 推荐 PLoP Linux; LiveCD, USB boot, PXE network boot, antivirus, rescue http://www.plop.at/en/ploplinux.html 可以不用烧录 CD, 节省资源。我之前是用 linux knoppix cdrom 开机: 输入 linux 2 (文字模式开机较快) # cd /ramdisk # fdisk -l Disk /dev/sda: 164.6 GB, 164696555520 bytes 255 heads, 63 sectors/track, 20023 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Device Boot Start End Blocks Id System /dev/sda1 1 244 1959898+ 83 Linux /dev/sda2 245 6324 48837600 83 Linux /dev/sda3 6325 12404 48837600 83 Linux /dev/sda4 12405 20023 61199617+ 83 Linux System 是 HPFS/NTFS 或 FAT 的就是 windows. 我的 IBM notebook 是 /dev/hda1 而且 c:\i386 是 XP files. 所以 # cd /ramdisk # mkdir /c # mount /dev/hda1 /c # wget http://dl.antivir.de/down/vdf/rescuecd/rescuecd.iso # mkdir /ramdisk/r # mount rescuecd.iso /ramdisk/r -o loop,ro # cd /ramdisk/r/antivir # ./antivir >& /ramdisk/virlog01.txt 或#./antivir -s /c/WINDOWS >& /ramdisk/virlogwindows.log # mkdir /c/virinfo # mv /ramdisk/virlog01.txt /c/virinfo # cd /c/WINDOWS/system32/drivers # ls -la > /c/virinfo/dirdriversinlinux.txt # mkdir /c/vir <% 假设中了 9aaa.com IE 首页病毒 http://baike.360.cn/4024037/18915635.html?page=2 %> # mv /c/WINDOWS/system32/drivers/sarqlyku.sys /c/vir/ <% 看小红伞 scan log %> # less -r /c/virinfo/virlog01.txt # mv /c/WINDOWS/system32/xxxx /c/vir/ <% linux 的 windows password/registry 工具 http://home.eunet.no/pnordahl/ntpasswd/chntpw-source-080526.zip http://home.eunet.no/pnordahl/ntpasswd/ 备分 registry mkdir /c/bak cp -Ra /c/WINDOWS/system32/config /c/bak/ %> <% mscompress cabextract www.cabextract.org.uk/ XP cdrom 上有 I386 目录. %> # cd /ramdisk/ # cp /c/I386/SVCHOST.EX_ /ramdisk # cabextract SVCHOST.EX_ extracting svchost.exe # md5sum svchost.exe ccfc400f3305a61cbd8ad2a6f5671e4b svchost.exe # md5sum /c/WINDOWS/system32/svchost.exe ccfc400f3305a61cbd8ad2a6f5671e4b /c/WINDOWS/system32/svchost.exe <% http://file.ikaka.com/ %> 2010-9-24 14:57 0
半岛铁盒雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 53 粉丝 0 关注私信	半岛铁盒 6 楼带毛兔子是什么啊？ 2010-9-24 16:11 0
半岛铁盒雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 53 粉丝 0 关注私信	半岛铁盒 7 楼哦是不是虚拟光驱？为什么每次启动都要改变名字呢 2010-9-24 16:13 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 8 楼 Daemon Tools 2010-9-24 23:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

中毒了 ，朋友们救救我

中毒了，朋友们救救我