瑞星卡卡安全论坛
baohe - 2007-4-6 20:54:00
| 引用: |
【天月来了的贴子】唉!!!!!!!!
累哦!!!
总不成,大家都搞SSM ??????????????
这要是病毒再突破SSM
以后日子怎么过???????????
……………… |
突破SSM的木马————不是没有。
手头的工具,不妨多预备些。不能总指望一两个常用工具。
这里的潜水者中,不乏“图谋不轨”者。因此,写帖子时也要注意————别过多地亮自己的底牌。
底牌亮多了,相应的手段就渐渐失效了。
£影子虫あ - 2007-4-6 20:56:00
拿一分走人~~~
★蓝色尘埃★ - 2007-4-6 21:07:00
好啊
subomaoming - 2007-4-6 21:09:00
请问版主哪里有Tiny的Activity Monitor下阿?
免费版吗?我也想玩玩……麻烦告知,好吗?
先谢谢哦!!
baohe - 2007-4-6 21:12:00
| 引用: |
【subomaoming的贴子】请问版主哪里有Tiny的Activity Monitor下阿?
免费版吗?我也想玩玩……麻烦告知,好吗?
先谢谢哦!!
……………… |
Tiny是个英文版防火墙;Activity Monitor是其中一个组件,不是单独的工具。
Tiny设置灵活而复杂。入门————需要一段时间。
这个防火墙已经“死”掉(被CA收购了)。自去年初,就再没更新服务了(Tiny的最后一版是6.5.126)。
下载地址?自己用百度搜。
subomaoming - 2007-4-6 21:17:00
| 引用: |
【baohe的贴子】
突破SSM的木马————不是没有。
手头的工具,不妨多预备些。不能总指望一两个常用工具。
这里的潜水者中,不乏“图谋不轨”者。因此,写帖子时也要注意————别过多地亮自己的底牌。
底牌亮多了,相应的手段就渐渐失效了。
……………… |
果然考虑周全阿,不愧为版主,我们等的学习榜样……看来人人尊称
猫叔挺恰当的……学习!
subomaoming - 2007-4-6 21:19:00
| 引用: |
【baohe的贴子】
Tiny是个英文版防火墙;Activity Monitor是其中一个组件,不是单独的工具。
Tiny设置灵活而复杂。入门————需要一段时间。
这个防火墙已经“死”掉(被CA收购了)。自去年初,就再没更新服务了(Tiny的最后一版是6.5.126)。
下载地址?自己用百度搜。
……………… |
我还以为是个独立的工具呢,多谢猫叔!!
thull - 2007-4-6 21:46:00
今天寝室一个人中了和这多少有些区别 呵呵 文件不太一样 不过变态的程度还是一样的
开始没看猫叔的帖子 自己帮他乱杀一气 结果杀了一半 有些残余 机器就郁闷了 开机得注销次才能用 呵呵 后来都删了才正常
天月来了 - 2007-4-6 21:53:00
baohe说的对!!!!!!!!!
这里难说没有图谋不好的人。
是得留一手,我以后就少建议点杀毒手段,只简单点。
呵呵!!!!!!!!!
能处理就行了哦。
☆風雲☆→羽少 - 2007-4-6 23:11:00
安装瑞星也没什么木马拉,把漏洞修修就好....可是我的端口被人攻击怎么办那?
"自本次启动以来共受到1次攻击。最后一次攻击的IP地址为:222.174.20.10,事件名称为:防范2003蠕虫王攻击(1434端口),攻击时间为:22:4:40."
subomaoming - 2007-4-7 0:01:00
| 引用: |
【天月来了的贴子】baohe说的对!!!!!!!!!
这里难说没有图谋不好的人。
是得留一手,我以后就少建议点杀毒手段,只简单点。
呵呵!!!!!!!!!
能处理就行了哦。
……………… |
这样我就很遗憾了,因为,少了很多学习的机会!两个方面,有利有弊,真难办啊……
subomaoming - 2007-4-7 0:03:00
| 引用: |
【☆風雲☆→羽少的贴子】安装瑞星也没什么木马拉,把漏洞修修就好....可是我的端口被人攻击怎么办那?
"自本次启动以来共受到1次攻击。最后一次攻击的IP地址为:222.174.20.10,事件名称为:防范2003蠕虫王攻击(1434端口),攻击时间为:22:4:40."
……………… |
封端口!!瑞星防火墙好像就有这个功能。要不用dos命令也可以,具体我忘了
horseluke11 - 2007-4-7 0:57:00
| 引用: |
【scriptman的贴子】
关于NPF这个,我以前也是告诉他们删除掉,但好象现在有些学校的上网软件都需要这个,其实就象FORMAT命令一样,有人用它装系统有人用它破坏系统.
……………… |
| 引用: |
【carabe的贴子】NPF.SYS
WANPACKET.DLL
PACKET.DLL
不是病毒体吧,虽有人把NPF.SYS作为arp的病毒体,但是这几个文件也是许多软件必须的,删除就无法运行
……………… |
前两个星期因为学校校园网的原因疯狂恶补了一下ARP知识,我试者回答一下:
上述提到的两个文件是WinPCAP驱动库(其实还有其他几个文件。其中大部分在SYSTEM32文件夹,除了NPF.SYS是在DRIVERS文件夹),因此如果你使用了Ethereal之类利用WinPCAP驱动库的软件(大部分为网络扫描嗅探软件,或者是部分校园网拨号软件、校园网拨号软件破解端,如锐捷破解端metro supplicant)就不可以删除。
反之,如果用户不需要使用WinPCAP驱动库,可以通过建立假的WinPCAP库到系统目录里阻止部分使用WinPCAP驱动库发包和截包的ARP欺骗病毒/木马的运行。
horseluke11 - 2007-4-7 1:07:00
| 引用: |
【baohe的贴子】
2、你说的WANPACKET.DLL和PACKET.DLL在“当前用户临时文件夹”中。从未听说过这个文件夹中的文件是系统必须的文件。“当前用户临时文件夹”本来就应该定时清空。
至于drivers文件夹中的NPF.SYS,我玩儿过的多个木马中都涉及这个驱动程序的释放。如果你认为它是系统文件,那你就养着吧。我是不会保留这类东东的。
3、删除那三个文件后,我的系统无任何异常。
……………… |
因为WinPCAP驱动库一般只用做网络扫描嗅探,因此猫叔删除后系统没有任何异常是在情理当中......如果你的电脑没有安装WinPCAP驱动(或者网络扫描嗅探软件)但是又出现了这几个文件,则你的电脑可能已经被病毒或者木马感染,这时候要仔细查毒杀毒。
但是猫叔,看了你的回复后,我只觉得暴寒啊......晕啊.........现在的病毒还真的会自行建立符合自身的运行环境了.......
然后猫叔这张杀灭帖也提醒我,“群体战术”的病毒群里面有ARP欺骗类病毒,看来探寻校园网内的机器为什么总是网速慢终于有点眉目了,而且这也提醒了......一机中毒,全校(校园网)遭殃......
天月来了 - 2007-4-7 8:22:00
看来得备份更多的系统文件,才可以更好的应对。
但是太多电脑的局域网里不知到底怎好?
上虚拟的吧!!!
脑盲啊闹忙 - 2007-4-7 9:19:00
大叔,我自从中了那些木马群以后试了很多种的杀毒软件,后来网上买了江民2007的用了下好像觉得还不错,但是我开网页什么都开始变的很慢呀,昨天我又看见瑞星有了新的版本,病毒库也说了可以杀掉这些,我就重新安装了瑞星,不晓得是否能真的就没有危险了?
哦对了,我很奇怪,为什么我电脑重装系统的时候瑞星还是杀到毒了,是我的硬盘有问题还是我的安装盘有问题?我还需要改善些什么?
tlw2010 - 2007-4-7 16:00:00
1、运行IceSword,禁止进程创建。
2、结束下列被病毒插入的进程以及所有非系统核心进程:
[PID: 1876][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
````
不明白这在IceSword里面哪里能找到这个[PID: 1876][C:\windows\Explorer.EXE]
````
小弟愚钝```不要见怪!!真心请教!!!
horseluke11 - 2007-4-7 16:15:00
| 引用: |
【tlw2010的贴子】1、运行IceSword,禁止进程创建。
2、结束下列被病毒插入的进程以及所有非系统核心进程:
[PID: 1876][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
````
不明白这在IceSword里面哪里能找到这个[PID: 1876][C:\windows\Explorer.EXE]
````
小弟愚钝```不要见怪!!真心请教!!!
……………… |
呵呵,有学习的精神!加油!
如图,打开ICESWORD,在“进程”里面找C:\windows\Explorer.EXE。
如果要找模块就要右键单击--〉“模块信息”
相关教程(UFO不幸外人 编写):
手工检测病毒(3月25日更新):http://forum.ikaka.com/topic.asp?board=28&artid=8267493
冰刃(IceSword)的使用方法(基础篇):http://blog.sina.com.cn/u/56b232db010007xt
冰刃(IceSword)的使用方法(基础篇):http://forum.ikaka.com/topic.asp?board=28&artid=8283980
冰刃(IceSword)的使用方法(高级篇):http://blog.sina.com.cn/u/56b232db01000841
附件:
783644200747160555.gif
tlw2010 - 2007-4-7 16:21:00
【回复“horseluke11”的帖子】
多谢horseluke11兄的指教!!!!
zhongzhi - 2007-4-7 16:47:00
能顶楼主的贴子,是荣幸,支持!
简简单单23 - 2007-4-7 18:14:00
支持下啊
baohe - 2007-4-7 19:14:00
| 引用: |
【tlw2010的贴子】1、运行IceSword,禁止进程创建。
2、结束下列被病毒插入的进程以及所有非系统核心进程:
[PID: 1876][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\Syswm1i\Ghook.dll] [N/A, N/A]
````
不明白这在IceSword里面哪里能找到这个[PID: 1876][C:\windows\Explorer.EXE]
````
小弟愚钝```不要见怪!!真心请教!!!
……………… |
附件:
155847200747190503.jpg
地区性 - 2007-4-7 19:28:00
晕,那么多
修罗撒旦 - 2007-4-7 19:30:00
任务管理器也能找到
查看-选择列-PID前打走勾就行...
linjoe - 2007-4-7 20:29:00
我的电脑中了一大堆木马,瑞星居然一个都没有查出来,让我好失望!!!
花心不一 - 2007-4-7 22:51:00
Packed.Win32.Klone.e
这个怎样删呀~
horseluke11 - 2007-4-7 23:13:00
6385555555 - 2007-4-8 9:40:00
学习..
无限001 - 2007-4-8 11:43:00
又学习,支持一个!!!
阳阳170 - 2007-4-8 15:14:00
【回复“之乎者也”的帖子】新建
© 2000 - 2026 Rising Corp. Ltd.