想快速解决问题么?看这里
首先,欢迎您来到卡饭的病毒救援区,在一切求助开始之前,[size=5][color=darkred]建议您花1分钟的时间组织一下您要说的内容,这是十分有利的,一个好的反馈往往事半功倍。[/color][/size]
[size=5][color=darkred]
[/color][/size][size=7][color=red]怎么既快又好的描述?[/color][/size]
您可以按照以下方法描述您的状况[code]出现了什么问题?
您使用的杀毒软件的名称?
您做了哪些努力,结果是怎样的?
您的系统版本
您的杀毒软件版本/或者hips版本
附加上系统日志
如果是hips请附加上您的规则包或者规则截图及其拦截日志[/code][size=5][color=darkred]回答完以上这些问题,一个高效的反馈就出现了[/color][/size]
举个例子而言。针对卡巴的病毒比较难对付的有sxs.exe这个木马,如果您中了,就可以这样描述(以下为举例。)[code]我中了木马,
表现的症状是:
1。系统的时间无故的变为2005年1月1日
2。我的卡巴斯基杀毒软件不工作了,图标显示为灰色
3。我尝试在安全模式下清理,但是发现有很多带有online名字的木马很难清除,卡巴总是提示我重新启动后清除,但是依然没有奏效。
4。我的系统是windows xp的
5。卡巴的版本是kis 7.125
6。我已经把系统日志放在附件中[/code]这样的描述属于高质量的,也是见效最快的。
[size=5][color=#8b0000][/color][/size]
[size=7][color=red]如何制作日志[/color][/size]
[indent]打开 SREng ([url=http://download.kztechs.com/files/sreng2.zip][size=3][color=#000000][b]点击下载最新的SREng2.5[/b][/color][/size][/url][b][color=#006699] [/color][/b]),点击“智能扫描”,勾选需要扫描的项目(默认为全选),点击“扫描”按钮开
始扫描。
[img]http://www.cisrt.org/images/sreng/sscan1.gif[/img]
扫描完成后出现“详细报告”对话框,点击“保存报告”按钮保存扫描报告为LOG文件,默认文
件名:SREngLOG.LOG 。
[img]http://www.cisrt.org/images/sreng/sscan2.gif[/img]
将保存出来的文件,上传上来,
[size=6][color=darkred]一个完整的系统日志往往比您描述的言语要有效的多。[/color][/size]
[size=6][color=#8b0000][/color][/size][/indent][indent]
[size=6][color=red]如何有效地自我解决问题:[/color][/size]
高手都不在,怎么办?
其实自己就是高手,木马不过是小弟~!
以下用sxs木马来举例,详细说明各种工具的使用方法。。。
[color=darkred]1。[size=5]确保您的系统还原是关闭的![/size][/color]
[attach]175067[/attach]
2。[size=5][color=darkred]确保每一盘下得autorun.inf都不存在[/color][/size]
[attach]175057[/attach]
3。[size=6][color=darkred]善用系统自带的工具[/color][/size](其实都是很强悍的,别以为自带的就一定差!)
[size=6][color=darkred]用winrar察看隐藏文件[/color][/size]
所有的隐藏文件在winrar下都是透明的,完全遮挡不住。
[attach]175064[/attach]
[size=6][color=darkred][/color][/size]
[size=6][color=darkred]万能cmd[/color][/size]
看到这个东西,基本上木马就没有太多的存活希望了。
[attach]175058[/attach]
在命令提示符下输入HELP你就会发现为什么叫万能的cmd了。^_^
[attach]175059[/attach]
[size=6][color=darkred]tasklist(资源管理器的命令行版本)[/color][/size]
执行tasklist命令, 就会列出所有的当前任务进程。
有几个开关很有用。
[size=5][color=blue]tasklist /svc 会列出服务内容[/color][/size]
[size=5][color=blue]tasklist /m 列出指定模块的调用[/color][/size]
回到正题,使用tasklist,你可以方便的查询是否有sxs.exe的存在。
[attach]175066[/attach]
[size=6][color=darkred]提示符下的杀手--taskkill.exe[/color][/size]
既然知道了sxs的存在,在任务管理器被控制的情况下,我们可以用taskkill秒杀sxs.exe
方法很简单。运行
taskkill /pid <程序的pid号>
[attach]175065[/attach]
[size=6][color=darkred]终极逐客令——组策略,避免死灰复燃的最好办法。[/color][/size]
开始菜单,运行,
输入gpedit.msc,出现这个东西
[attach]175060[/attach]
定义完成后,就会看到这样的画面
[attach]175061[/attach]
接下去建立散列规则
[attach]175062[/attach]
可以给任何一个文件指定散列规则,只要看的不爽的都可以。
被拒绝的程序不论怎样都会无法执行:
就像这样。
[attach]175063[/attach]
好了,这样就[color=blue][size=6]可以抑制那些改名的木马和病毒了,散列只认sha1值而不管文件的位置和名字以及日期[/size]。[/color]
接下来,就是重新启动系统,不必担心那些木马会死灰复燃,因为他们已经被封印了^_^
[size=6][color=darkred]改名大法——对付镜像劫持的法宝。[/color][/size]
镜像劫持其实是一个调试手法,使系统级别的,十分的好用,但是却被人用来干坏事了。
如果你的程序无法运行,那就给他改名字!
比如cmd.exe无法运行,那就改名。
你可以[size=5][color=blue]改成任何的名字只要扩展名是可执行的就可以[/color][/size]。
这样就完全摆脱了镜像劫持的干扰。
[/indent]
[[i] 本帖最后由 ALEXBLAIR 于 2007-12-27 19:25 编辑 [/i]] 支持,可惜我不能加亮,等P版来加亮吧[:xi40:] 类似的这些是什么呀```
[:11:]
========================呵呵,看到```是图呀[:10:]
强贴+实用贴[:14:]
[[i] 本帖最后由 j1etty 于 2007-12-27 19:29 编辑 [/i]] [quote]原帖由 [i]j1etty[/i] 于 2007-12-27 19:26 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2366587&ptid=177836][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
类似的这些是什么呀```[localimg=652,194]7[/localimg]
[:11:] [/quote]
[:01:] 已经修改了 [:10:] 我下次也只接COPY链接``[:14:]
[:xi28:]
楼主```某诚是被菜刀砍的呀``[:02:] 偶答错了呀```[:08:] 不错啊 适合新手学习!~~
楼主 打了这么多辛苦拉!~~[:13:] [:13:]
我觉得清除毒 CMD的作用还是挺大的
不像一些安全工具 老被劫持!~虽然换个名字就可以解决!~ [size=3][color=seagreen]A版有空给大家介绍一下[color=red]WS[/color]吧,有了这个,基本上可以简单高效的手工清除绝大多数病毒了,基本可以不用冰刃和SRE啦[/color][/size]
回复 7楼 wangjay1980 的帖子
看不懂[:xi29:] ,要有个教程 差不多明白,写的不错。回复 8楼 洋葱豆丁 的帖子
等着教程 呵呵,高手就是不一样,学习了![:13:]回复 2楼 baerzake 的帖子
路过,看看 1,我的卡巴和360都被删除了,不少应用软件也用不了,比如OFFICE,IE,压缩解压和千千等,要不就是图标指向不对,前几天,系统变的非常慢,然后桌面由下角也出现了正版提醒的五角星,囧2,我用的是最新的KIS和360,
3,我下了新的KIS扫了一遍,什么都没有,然后用AVG和360扫出几个木马
4,我的系统版本是XP
有没人能告诉我到底是怎么会事?这是木马造成的吗?好多程序要重装啊……
回复 7楼 wangjay1980 的帖子
[:28:] WS确实不错有时候冰刃都没法解决的问题 它能解决 做日志麻烦,我还是说两句好了 学习中``看得脑袋一片朦胧``[:15:] 好东西 [quote]原帖由 [i]蓝旖飞流[/i] 于 2008-1-10 17:11 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2503738&ptid=177836][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
1,我的卡巴和360都被删除了,不少应用软件也用不了,比如OFFICE,IE,压缩解压和千千等,要不就是图标指向不对,前几天,系统变的非常慢,然后桌面由下角也出现了正版提醒的五角星,囧
2,我用的是最新的KIS和360,
3,我下了新 ... [/quote]
首先可以先检查一下系统时间
如果没有问题的话,可以看一下启动项
另外看一下注册表里的class项目,
建议用sre这个日志软件的修复功能修复一下您的系统设置,一般来说图标指向问题可以点击图标,按右键,属性,看看指向的目标是否正确。 很受用的东东
不过貌似少了一步,清理注册表打扫战场。[:01:]注册表权限也是很好玩的
还可以用注册表镜像劫持来阻止病毒运行,以其人之道还治其人之身 [:01:]
回复 19楼 rappar 的帖子
[:xi55:]嘿嘿,多谢指点
。。。。
注册表的权限主要考虑到不是很直观,所以就没有写进去。。。
注册表的镜像劫持的确是十分有效的招