能力值:
( LV2,RANK:10 )
|
-
-
2 楼
帮顶一下。
1、打开一文档,很慢,要等半天,哪怕文档只有几个字
打开方式里选择程序会有两个记事本吧,选另外一个看看。
2、鼠标时不时会变忙一下
会不会中了灰鸽子之类的远程控制,仔细查查。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
病毒太多,可能已经替换了你的系统文件,还是重装系统或还原吧
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
首先全盘杀毒,然后做下优化清理,最后看下吃CPU和内存的,查看下启动选项,如果是病毒它肯定是通过某种方式启动的吧,如果不是你自己主动点击的话,最好和事件错误日志里面对应的看下服务!祝你成功!
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
这种情况之下..我觉得还是重装省力..
不过要是需要搞技术方面的专研的话...不知道了...
以前有人给过建议说等电脑全装完以后就用cmd的命令列出C盘所有文件名和大小,等电脑感觉出了什么问题了,就可以拿这列表去比对,然后就可以一个个排除下来了...
顺便,觉得什么文件可疑的话,扔这里查查吧:www.virscan.org
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
难呀,很难清理干净,!!
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
有的病毒很难清理,但可以防护。这种情况建议重装。
|
能力值:
( LV3,RANK:30 )
|
-
-
8 楼
抓住这次学习的机会,细细剖析这个病毒!
|
能力值:
( LV9,RANK:310 )
|
-
-
9 楼
谢谢各位热心帮助,我装了杀毒软件了,没杀出来,也不想重装系统,只想知道怎么对付这种东东,再研究研究吧
先看看那个sysenter hook 0x8a280960 ,这个值会变,如重启后变成8a257178
打开windbg,内核调试
lkd> uf 8a257178
8a257178 e99b96e52f jmp ba0b0818
ba0b0818 8bff mov edi,edi
ba0b081a 9c pushfd
ba0b081b 60 pushad
ba0b081c 57 push edi
ba0b081d 53 push ebx
ba0b081e 50 push eax
ba0b081f e840ffffff call ba0b0764
.......
ba0b0835 c3 ret
用hopy MM的工具http://bbs.pediy.com/showthread.php?t=104968直接更改call ba0b0764里的跳转指令,结果蓝屏,从dump文件中发现这段代码是hookport.sys的,是360的东西,虚惊一场,明天继续研究
|
能力值:
( LV9,RANK:310 )
|
-
-
10 楼
哈哈,按照上面的方法,先uf 未知模块地址,查看调用的子函数,再对照xuetr内核模块里各驱动对应的基址和大小,就可以确定是谁的那
如系统回调入口 8884a500 shutdown 未知模块
lkd> uf 8884a500
8884a500 8b542408 mov edx,dword ptr [esp+8]
8884a504 8d4c2404 lea ecx,[esp+4]
8884a508 50 push eax
8884a509 8bc4 mov eax,esp
8884a50b 50 push eax
8884a50c 6810a38488 push 8884A310h
8884a511 b8405decb9 mov eax,0B9EC5D40h
8884a516 ffd0 call eax
。。。。。
8884a51f c20800 ret 8
上面调用了0b9ec5d40,在内核模块里查找,发现是属于虚拟光驱驱动sppk.sys的代码里
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
重新分区,再重装系统。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
上次找了个命令行杀毒希望对你有帮助。
[转]http://bxbx258.blog.51cto.com/339450/122373
目录
第一部分 简介
第二部分 实战
第三部分 文档+下载
=================================----------------简介开始-----------------------==========================
中病毒了,中木马了,第一步干啥??上网找专杀?开启杀软杀毒?到别的电脑下载,然后U盘传过来?这些杀毒方法,有一个致命的缺点,就是电脑中病毒已经运行了。
病毒有啥功能??对抗杀软,劫持“病毒”“专杀”有关字眼,破坏专杀,U盘感染。我们要想在病毒运行的过程中杀掉病毒,困难非常大。另外,现在的病毒利用驱动技术过滤进程、文件、注册表、端口,想想都可怕。那么怎么样杀毒才最有效?
在病毒没有运行的时候,杀毒!
病毒再厉害,也需要运行后才发挥作用,我们中毒后第一件事情就是停止病毒的运行。那么怎么停止病毒的运行呢?杀病毒进程?不行,进程已经被过滤了,而且驱动在不停的监控进程。最好的方法就是在病毒被windows装载前就禁止掉。几乎所有病毒是靠后缀名来运行的,windows运行一个普通的可执行文件的时候是靠后缀名关联来运行的,{system csrss lsass smss 等系统核心进程则不是这样}
如果我们更改了病毒的后缀名关联,病毒将在重启系统后不能加载!
常见的文件关联:[CMD下操作结果]
C:\Documents and Settings\Administrator>ftype exefile
exefile="%1" %*
C:\Documents and Settings\Administrator>ftype batfile
batfile="%1" %*
C:\Documents and Settings\Administrator>ftype scrfile
scrfile="%1" /S
C:\Documents and Settings\Administrator>ftype comfile
comfile="%1" %*
C:\Documents and Settings\Administrator>ftype cmdfile
cmdfile="%1" %*
C:\Documents and Settings\Administrator>ftype vbsfile
vbsfile=%SystemRoot%\System32\WScript.exe "%1" %*
C:\Documents and Settings\Administrator>ftype jsfile
jsfile=%SystemRoot%\System32\WScript.exe "%1" %*
C:\Documents and Settings\Administrator>ftype htafile
htafile=C:\WINDOWS\system32\mshta.exe "%1" %*
C:\Documents and Settings\Administrator>ftype txtfile
txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
现在我们的思路就是,中毒的时候,首先新建立一个可执行文件类型,比如.xxx,
看下面的命令:
assoc .xxx=xxxfile
ftype xxxfile="%1" %*
copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx /y
好了,现在在开始->运行里面输入cmd.xxx,然后回车,发现了cmd运行了!
CMD运行了,我们的天空就灿烂了,现在就可以让一切病毒木马瘫痪了,木马病毒就完蛋了!
继续运行下面的命令:
assoc .exe=txtfile
assoc .com=txtfile
assoc .scr=txtfile
assoc .cmd=txtfile
assoc .bat=txtfile
assoc .vbs=txtfile
assoc .js=txtfile
assoc .hta=txtfile
我们重新启动电脑吧!exe/com/scr/cmd/vbs/js/hta文件都运行不成拉!包括病毒在内,包括杀毒软件在内,重启后都运行不成拉!
这就达到了我们的目的:在病毒没有运行的时候,杀毒!
然后呢,我们怎样来运行杀毒软件呢?就是使用CMD.xxx
或者你把杀毒软件后缀名改成.xxx。不过还是建议直接用CMD.xxx。
具体方法:
点击开始->运行,输入cmd.xxx,然后进入杀毒软件的文件夹,把杀毒软件的主程序用鼠标拖到cmd窗口上,再按回车键,杀毒软件就打开拉!
现在你可以扫描系统了,现在是病毒没有运行呢。现在你可以到同学的电脑上面下载专杀了,再次强调下,
运行杀软或者专杀之前需要把杀软或者专杀的主程序拖到cmd的窗口上面,然后回车键运行!
等你确定电脑无病毒了,然后再运行下面的命令恢复后缀名关联:
assoc .exe=exefile
assoc .com=comfile
assoc .scr=scrfile
assoc .cmd=cmdfile
assoc .bat=batfile
assoc .vbs=vbsfile
assoc .js=jsfile
assoc .hta=htafile
现在你确定没有病毒了,如果有病毒的话,那么说明你的专杀拉,还有杀软拉都是废品!!!为啥呢?自己想想呗,病毒都没有运行,你们还干不掉他们?
=================================----------------简介完毕-----------------------==========================
=================================----------------实战杀毒-----------------------==========================
上面的粗略介绍了原理,下面是具体的按时间顺序的实战操作步骤:
【假如你已经中毒了】
首先,把命令做成一个批处理,中毒后首先运行这个批处理
assoc .xxx=xxxfile
ftype xxxfile="%%1" %%*
copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx /y
assoc .exe=txtfile
assoc .com=txtfile
assoc .scr=txtfile
assoc .cmd=txtfile
assoc .bat=txtfile
assoc .vbs=txtfile
assoc .js=txtfile
assoc .hta=txtfile
严重提示:运行批处理的时候,两个百分号%%代表一个百分号%,单独在CMD里面打入命令只用一个百分号%!
然后重启电脑,重启后,很多病毒都被记事本打开了,正常的自启动文件也会被记事本打开的,不过不要怕,千万不要动那些记事本。
点击开始->运行,输入cmd.xxx,在cmd.xxx下面用这个命令就可以关闭所有的记事本拉,
引用:
taskkill.exe /f /im notepad.exe
【可能你会问,为啥在cmd.xxx里面运行exe就可以啊,这个就要问微软了!这个就是系统的秘密咯!】
然后用杀毒软件和专杀杀毒,就是把主程序拖到cmd.xxx窗口上面然后回车运行。
最后一步,重要!等病毒被杀光后,再把这个命令复制到cmd.xxx里面回车运行
assoc .exe=exefile&assoc .com=comfile&assoc .scr=scrfile&assoc .cmd=cmdfile&assoc .bat=batfile&assoc .vbs=vbsfile&assoc .js=jsfile&assoc .hta=htafile
然后呢,你的电脑就恢复到中毒前的无毒状态了,当然被病毒破坏的地方不算,这些留给杀软和辅助软件修复或者手工修复。
收尾+论功行赏:
现在我们列出立了大功的windows的自带工具
cmd.exe 以及内置的assoc命令和ftype命令
不要忘了我们自定义的.xxx和xxxfile哪!其实.xxx可以换成任何一个你喜欢的东西,比如.xxxx,四个x都可以。
也可以换成.123也可以.xyz随你便,只要不要被病毒知道把你的.xxx删掉就好拉!!
然后这个.xxx的文件关联呢,你想删除么??如果下次中毒了,还可以用上哪,所以就不用删除了。
想删除的话,用这个命令就可以拉.
ftype xxxfile= & assoc .xxx=
=================================----------------实战完毕-----------------------==========================
里面的具体内容我就贴上来吧:
第一个文件:
![重要]使用说明.txt
注意:
如果只想测试的话,不用重启电脑,直接运行第一步,第三步,第五步(不是必须的),第六步即可
第一步.双击“杀毒后运行.bat”
第二步.重启电脑后进入第三步
第三步.开始->运行,输入cmd.xxx,回车后就打开了CMD.xxx窗口.
或者直接双击我提供的cmd.xxx
第四步.打开"关闭notepad.txt",照里面的说明做
第五步.等那些记事本窗口关闭后,你可以把专杀或者杀软的主程序拖到CMD.xxx窗口上面运行就可以扫描病毒了,这一步是最重要的拉,一定要把最好的专杀拿上来杀毒,或者手工删除一个个病毒都可以,这个时候病毒没有运行,我们就可以轻松把病毒搞个魂飞魄散拉!
第六步.杀毒完毕后,打开"杀毒后运行.txt",照里面的说明做
补充说明:
第六步后,系统中留下了.xxx的文件关联,你只需运行下面的命令就可以删除这个关联了。
ftype xxxfile= & assoc .xxx=
完毕!
第二个文件:
杀毒前运行.bat
assoc .xxx=xxxfile
ftype xxxfile="%%1" %%*
copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx /y
assoc .exe=txtfile
assoc .com=txtfile
assoc .scr=txtfile
assoc .cmd=txtfile
assoc .bat=txtfile
assoc .vbs=txtfile
assoc .js=txtfile
assoc .hta=txtfile
第三个文件:
关闭notepad.txt
把下面的东西复制然后在cmd.xxx窗口上按鼠标右键粘贴然后按回车键运行就可以关闭notepad了
taskkill.exe /f /im notepad.exe
第四个文件:
杀毒后运行.txt
把下面的复制然后在cmd.xxx里面按按鼠标右键粘贴然后按回车键运行就可以拉
assoc .exe=exefile&assoc .com=comfile&assoc .scr=scrfile&assoc .cmd=cmdfile&assoc .bat=batfile&assoc .vbs=vbsfile&assoc .js=jsfile&assoc .hta=htafile
第五个文件:
cmd.xxx
这个cmd.xxx就是cmd.exe改名的,呵呵,就不必贴上来了?难道要贴二进制?嘿嘿.
=================================----------------全文完毕-----------------------==========================
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
厉害!
殊不知是否真的有效!
求原理!
求实战后的反馈!
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
看起来不像中毒,或许是禁用了某些服务或者误删了某些系统组件的原因。最好还是回忆一下出现这种情况前自己的操作。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
哈哈,计算机菜鸟告诉你:你中了TDSS啦。
用卡巴的专杀tdsskiller试试吧。
不过,建议大牛用这个工具找出被感染的系统驱动文件吧,至于修复,在虚拟机上是修复成功的。我实机修复后,系统崩溃。
|
能力值:
( LV9,RANK:310 )
|
-
-
16 楼
12 楼不错的方法
14楼说的不错,权限不够的问题我也觉得可能是动了哪里的设置
15楼 的工具不错,可惜没查到可疑的东东。。。
谢谢大家的热心帮助,结贴了
|
能力值:
( LV9,RANK:310 )
|
-
-
17 楼
今天终于解决了那些奇怪的问题,原因是我将组策略里---用户权利指派---跳过遍历检查--将users,everyone删除导致的,重新添加即可
不过还是想不明白,因为我是管理员,且这个权利即SE_CHANGE_NOTIFY_NAME里已经有管理员组了
后来在虚拟机上试验,发现没有上面的怪问题。。。
|
|
|