123456   2  /  6  页   跳转

关于candoall.exe

收藏
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-10-22 07:55 | 短消息 资料
字号: 11楼

Rootkit类的流氓软件,很早以前就有了

蛮棘手的


:(

苦了我们这些菜鸟
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-10-22 08:27 | 只看楼主 短消息 资料
字号: 12楼

引用:
【Aasetup的贴子】[引用]这个病毒的C:\WINDOWS\system32\hideme.sys功能还行,XDELBOX通过剪贴板导入上述病毒文件时,均报告文件不存在。常用的方法(如:用SRENG查看文件)也找不到这些病毒文件。.......................
"病毒和这两工具完游戏了,担心IceSword那天也加入!!!"


请教猫叔 为什么那两个工具找不到? 下面手动杀毒用IceSword又能找到?

………………

病毒文件被hideme.sys藏起来了。但是,candoall.exe进程躲不过IceSword。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-10-22 09:55 | 短消息 资料
字号: 13楼

不用冰刃,不用Tiny

猫猫说个别的好法子,让我们再学学。

我前几天遇到一电脑,那时没法上网,没任何小工具。

只有个打不开的瑞星杀软(被病毒禁了,其他的什么任务管理器等等东西都禁了)。还从没升过级的。

空手发呆。

里面一堆U盘类病毒。

真不知怎么办。

有说纯手工也可以。

可天啊,那里面一大堆病毒,那么乱。怎么去找啊。

鬼才记得系统重要文件夹下到底那些是系统的,哪些是病毒的(太多了嘛)。

没本事了。
gototop
 
yqlikaka
头像
叱咤花甲狮
  • 帖子:4469
  • 注册: 2007-01-05
  • 来自:蓉城
论坛8周年活动礼物童年风车09欢乐圣诞
发表于: 2007-10-22 10:59 | 短消息 资料
字号: 14楼

呵呵,以后杀毒,先找HIDEME.....
gototop
 
zhongzhi
头像
快乐黄口狮
  • 帖子:167
  • 注册: 2006-08-06
  • 来自:
发表于: 2007-10-22 18:38 | 短消息 资料
字号: 15楼

隐藏玩到种地步,也算N了,除了高手有办法外,偶等多数人只能寄希望于杀软了。
gototop
 
帅的被贼砍
头像
强壮不惑狮
  • 帖子:813
  • 注册: 2005-12-11
  • 来自:
发表于: 2007-10-22 18:42 | 短消息 资料
字号: 16楼

好东西不能错过^_^猫叔 : hou2298@yahoo.com.cn
gototop
 
sako
头像
社区嘉宾
  • 帖子:7496
  • 注册: 2007-10-16
  • 来自:遥远的地方
发表于: 2007-10-22 19:45 | 短消息 资料
字号: 17楼

酷阿!!猫叔,学习学习!!好好向猫叔学习!
gototop
 
青鸟II
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2007-10-19
  • 来自:
发表于: 2007-10-22 21:46 | 短消息 资料
字号: 18楼

学到东西,谢谢猫叔。我想学习分析病毒,请问HAOHE,改学些什么东西,改往那方面努力。谢谢了。。。
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2007-10-22 22:13 | 短消息 资料
字号: 19楼

见到好帖,冒泡顶一下……
gototop
 
琼台听雨
头像
自信弱冠狮
  • 帖子:464
  • 注册: 2007-02-07
  • 来自:
发表于: 2007-10-22 23:41 | 短消息 资料
字号: 20楼

引用:
【baohe的贴子】这个病毒的C:\WINDOWS\system32\hideme.sys功能还行,XDELBOX通过剪贴板导入上述病毒文件时,均报告文件不存在。常用的方法(如:用WINRAR查看文件)也找不到这些病毒文件。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
"AutoRun"="C:\\windows\\system32\\candoall.exe"
这种加载方式还不多见。


[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

………………


猫叔,这个驱动文件在安全模式下可见不?还有那个自动加载的注册表键值是针对什么的?
gototop
 
<<上一主题|下一主题>>
123456   2  /  6  页   跳转
页面顶部
Powered by Discuz!NT