叶陵君 - 2008-10-8 22:15:00
:default2: 怎么是文本呢。 你截图看下。。
幼妮 - 2008-10-8 22:19:00
截图?:default2: 你从我的表情可以知道答案
幼妮 - 2008-10-8 22:30:00
哦.是不是上XP操作,然后重起进入..GO.....然后什么不要按.就等等等..是吗
叶陵君 - 2008-10-8 22:32:00
是的,把压缩包 拷贝到XP 系统上 解压出来 运行主程序。
天云一剑 - 2008-10-8 22:35:00
C:\WINDOWS\system32\svchost.exe
这个被替换了
rainyblue - 2008-10-8 22:59:00
建议楼主使用windows清理助手清理一下系统,再重新扫一份日志
0兔子0 - 2008-10-8 23:18:00
幼妮,你还是和叶陵君 语音吧!看他回帖回的这个费劲,或者让他远程控制下,他现在弄不清楚你修复到什么程度了
超级游戏迷 - 2008-10-8 23:28:00
原帖由 天云一剑 于 2008-10-8 22:35:00 发表
C:\WINDOWS\system32\svchost.exe
这个被替换了
同意此猜测,从RPC服务和DCOM服务的厂商签名可以得出此猜测……:default2:
没有眼泪 - 2008-10-9 7:19:00
原帖由
超级游戏迷 于 2008-10-8 23:28:00 发表
原帖由 天云一剑 于 2008-10-8 22:35:00 发表
C:\WINDOWS\system32\svchost.exe
这个被替换了
同意此猜测,从RPC服务和DCOM服务的厂商签名可以得出此猜测……:default2:
那应该是rpcss.dll被替换了吧,超学长。。
第一页的日志里映像劫持里看svchost.exe应该是好的
天云一剑 - 2008-10-9 11:10:00
最好还是检查一下SVCHOST,这个东西也可以被修改,而且还能实现原来正常的功能
当然游戏迷学长说的那俩签名有问题的涉及的文件也要检查
一步一步来
幼妮 - 2008-10-9 16:05:00
大家好,不好意思,我又来了,:default2: 早上 我把整栋楼的方法都做了一遍.(不过有些做错了)现在的状况是还是要按CTRL+ALT+DEL才能显示图标,不能上网,用SYSTEM会跳出注册表PPTNIC.DLLS被修改为非常值,显示一大串入口点错误的消息,任务栏和打开每个盘的时候,盘的背景颜色从蓝色变成白色,但软件都能用,不过开心的是任务栏多了喇叭和杀毒软件的标志.我也扫了一个日只.麻烦您们了
幼妮 - 2008-10-9 16:05:00
原帖由 天云一剑 于 2008-10-9 11:10:00 发表
最好还是检查一下SVCHOST,这个东西也可以被修改,而且还能实现原来正常的功能
当然游戏迷学长说的那俩签名有问题的涉及的文件也要检查
一步一步来
附件:
SREngLOG.log
幼妮 - 2008-10-9 16:09:00
我也想让他远程控制的,但我Q号昨天下午又被偷了,不过他人很好,还是不厌其烦的在帮我
幼妮 - 2008-10-9 16:12:00
就是这些你叫我修复,我却大部分给删了,还有一些就没找到
幼妮 - 2008-10-9 16:23:00
驱动程序
[ADProt / ADProt][Stopped/System Start]
<\SystemRoot\system32\drivers\ADProt.sys><N/A>
[BdGuard / BdGuard][Stopped/Boot Start]
<\SystemRoot\system32\drivers\BDGuard.SYS><N/A>
[NTGDT / NTGDT][Running/System Start]
<\??\C:\WINDOWS\system32\Drivers\NTGDT.SYS><N/A>
==================================
浏览器加载项
[NaviHelperObj Class]
{3E422F49-1566-40D3-B43D-077EF739AC32} <C:\WINDOWS\system32\NaviHelper.dll, N/A>
[SearchHook Class]
{635A7AFA-FB22-4A4E-8AB8-C85CFAB14626} <C:\PROGRA~1\snav\Snav.dll, N/A>
[]
{F6A454AE-156A-415E-9F89-3795677A8A91} <C:\Program Files\Internet Explorer\53u1ttMe.2ys, N/A>
[百度工具栏]
{B580CF65-E151-49C3-B73F-70B13FCA8E86} <C:\PROGRA~1\baidu\bar\baidubar.dll, (Signed) Baidu.com, Inc.>
[NaviHelperObj Class]
{3E422F49-1566-40D3-B43D-077EF739AC32} <C:\WINDOWS\system32\NaviHelper.dll, N/A>
[SearchHook Class]
{635A7AFA-FB22-4A4E-8AB8-C85CFAB14626} <C:\PROGRA~1\snav\Snav.dll, N/A>
[百度工具栏]
{B580CF65-E151-49C3-B73F-70B13FCA8E86} <C:\PROGRA~1\baidu\bar\baidubar.dll, (Signed) Baidu.com, Inc.>
[]
{F6A454AE-156A-415E-9F89-3795677A8A91} <C:\Program Files\Internet Explorer\53u1ttMe.2ys, N/A>
==================================
正在运行的进程
[PID: 920][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
就是这些,叫我修复我有些给删了,有些没找到
叶陵君 - 2008-10-9 16:58:00
去XP 那边
开始---运行---输入 system32
在打开窗口中,找到svchost.exe 打包上传上来。
顺带把rpcss.dll 也打包上来吧
超级游戏迷 - 2008-10-9 17:07:00
原帖由 幼妮 于 2008-10-9 16:12:00 发表
就是这些你叫我修复,我却大部分给删了,还有一些就没找到
谁让你修复了?我只是说那里有异常,请正确理解!:default8:
要是你把c:\windows\system32\ctfmon.exe删掉,就连中文输入法也弄不成了,但那个文件的厂商签名确实有问题。不过既然能打中文,说明没删除。:default3:
请把c:\windows\system32\svchost.exe、c:\windows\system32\rpcss.dll这两个文件找到,用WINRAR压缩工具分别压缩,并把压缩包分别作为附件传上来!
叶陵君 - 2008-10-9 17:09:00
组策略 抑制下 system.exe 看下有没效果
开始---运行--输入---gepdit.msc
把下面这条复制到路径栏内。按图示操作。操作完毕后,重启电脑。再扫分日志看下
C:\WINDOWS\system32\System.exe
īΤΑΝΚ - 2008-10-9 18:19:00
我建议你一键复原好些! 复原后什么事也会没的! 不怕!
叶陵君 - 2008-10-9 23:27:00
显示系统文件、隐藏文件、扩展名.
附件: 显示系统文件、隐藏文件、扩展名.rar (2008-10-9 23:26:35, 422 B)
该附件被下载次数 220
做了个小视频,你按照视频方法做就可以,提取svchost.exe 和 rpcss.dll两个文件。
视频下载:
附件: 提取可疑文件.rar (2008-10-9 23:26:35, 670.59 K)
该附件被下载次数 135
叶陵君 - 2008-10-10 0:18:00
如果仍没找到,请按下面步骤处理
你是双系统的吧(如果不是,下面就不用看了),
先下载rpcss.dll 和svchos.exe
点击下载:
附件: 1.rar (2008-10-10 0:18:02, 133.87 K)
该附件被下载次数 132
解压得到 svchost.exe
登录vista系统
到C盘 (即你的XP系统盘)
将svchost.exe 解压覆盖到 以下两个目录。 (rpcss.dll 先不替换)
c:\windows\system32
c;|windows\dllcache (如果找不到,则略过)
重启系统。
如有错误,请高手指正。
(昨晚在虚拟机试验,rpcss.dll 如果丢失,是无法这样替换的。本次先替换svchost.exe。)
叶陵君 - 2008-10-10 14:43:00
© 2000 - 2026 Rising Corp. Ltd.
