backway - 2009-2-5 11:07:00
你再用先前附附近里的那个IFEO工具修复下,多弄几次,再用sreng检查下有没有剩余的
LZ还是装个杀软吧
backway - 2009-2-5 11:09:00
镜像劫持只是运行程序A却实际上运行了程序B
就这样
林花不谢 - 2009-2-5 11:11:00
请告诉我它的本来面目是什么,我会不会把一些正常的地方给改坏了呢
天月来了 - 2009-2-5 11:11:00
你是改了权限删的??
还是直接就可以删???
删吧,就那么手工删
得下点工夫了
天月来了 - 2009-2-5 11:12:00
你得完全按照SRENG日志红的那部分删哟
可别删错了:default3:
天月来了 - 2009-2-5 11:16:00
唉
俺要的是注册表文件自身导出那个位置
你用什么软件导的呀:default2:
林花不谢 - 2009-2-5 11:19:00
原帖由 天月来了 于 2009-2-5 11:16:00 发表
唉
俺要的是注册表文件自身导出那个位置
你用什么软件导的呀:default2:
呵呵,我导出的时候是直接导出的,但是存成txt的了,我再把reg的给你们
我的先修改了权限再删除的,因为原来的权限是 只读
再就是,这里好象不支持 reg文件的上传
附件:
Image.rar
backway - 2009-2-5 11:19:00
我还特意说了右键导出。。。
A机子上的注册表项导入B机子上权限不知道会不会丢失:default10:
kevin920 - 2009-2-5 11:24:00
换个浏览器····
IE不是很好用,又容易中毒
林花不谢 - 2009-2-5 11:26:00
请问这里面的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
是病毒开始就写入的还是我运行它们的时候自动写入的?
aaccbbdd - 2009-2-5 11:27:00
病毒写入
backway - 2009-2-5 11:28:00
你再运行下icesword.exe试下就知道了咯:default6:
删之。
林花不谢 - 2009-2-5 11:45:00
谢谢各位的帮助,已经删除完了,是先修改的所有项的权限,然后在sreng中选种全部后删除的,这样肯定删除不错了
林花不谢 - 2009-2-5 11:57:00
我还有个疑问,恶意程序对很多杀毒工具进行了重定向,可是为什么sreng能够运行,hijackthis也可以运行,而任务管理器却运行不起来(以上三个都被重定向了)
天月来了 - 2009-2-5 12:57:00
还真问着了
只要运行的程序名和那项目里定义的文件名不一样,就可以运行
也就是说,sreng和hijackthis的实际你双击的那程序文件名和它这不一样
而任务管理器是完全一样的,就不能运行了
© 2000 - 2025 Rising Corp. Ltd.