JBTALKS.CC

标题: 无聊抓virus 我不是高手 [打印本页]

作者: goodday 时间: 2008-4-13 04:37 PM
标题: 无聊抓virus 我不是高手
我也有抓不到的，我分享我的心得而已
不要叫我抓，我强烈建议 format

要学？？？
要交学费 ~~~~~~

我的 starbuck 的咯 ~~~~

电脑的 program 很容易的

我认为咯
你熟registry 就好

开班抓的

cmd --> tasklist

看不到virus 啦
tasklist /svc

他的 module
tasklist /m

www.processlibrary.com 可以看你的什么dll 是什么？？
http://www.spywaredata.com/

tasklist /m 太长？？？
看不完上面的？？

tasklist /m >> c:\abc.txt

这样咯

如果 cmd --> msconfig 有你跑着你又不懂的 program

你嘛查它的 dll files 咯

然后用 Procmon.exe 追那个dll 做什么咯

virus 通常都躲在 abc.txt 其中一个process module

拿掉就要懂 registry

作者: goodday 时间: 2008-4-13 04:41 PM
paste 了很多累

睡先

拿掉的部分要看多少人回复我才开工

忙嘛~~~~

作者: goodhermit95 时间: 2008-4-13 06:55 PM
标题: 回复 #2 goodday 的帖子
我也是有这样的VIRUS，可是END了又出来

作者: goodday 时间: 2008-4-13 07:25 PM
用 Procmon.exe 追嘛
你嘛知道他的地盘在那咯。。。。。

我都说他躲在 process 中的其中一个 module 咯

作者: goodday 时间: 2008-4-13 07:35 PM
endtask 弄不掉的
通常会在registry 的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
清除上面的也不能咯
有的在service 中
有的在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
HKEY_CLASSES_ROOT\exefile\shell
HKEY_CLASSES_ROOT\exefile\shellex

作者: 135814048 时间: 2008-4-13 07:51 PM
好貼。。頂下。。這樣我就沒得找吃咯？？

作者: goodhermit95 时间: 2008-4-13 08:29 PM
标题: 回复 #5 goodday 的帖子
-.-不是以启动就出现了，是广告程序，无端端有IEXPLORER.EXE

作者: hui_bler 时间: 2008-4-13 09:36 PM
我....看到傻傻..不懂...
还是FORMAT最好了

作者: goodhermit95 时间: 2008-4-13 09:52 PM
标题: 回复 #8 hui_bler 的帖子
FORMAT 是万能的

也是很不負责任的借口

作者: hui_bler 时间: 2008-4-13 10:08 PM
标题: 回复 #9 goodhermit95 的帖子
可是却是最简单的..
适合像我这种...

作者: lost 时间: 2008-4-13 11:37 PM
goodday，真佩服你

总觉得但一个主题是不够让你发挥的
作者: goodhermit95 时间: 2008-4-14 08:46 AM
标题: 回复 #11 lost 的帖子
他还有开很多主题啊em0010
作者: lost 时间: 2008-4-15 11:20 PM
标题: 回复 #12 goodhermit95 的帖子
我知道

我记得以前我还问过他问题
作者: goodhermit95 时间: 2008-4-17 12:10 PM
我的电脑virus太多了，还是format好。。。而且C：\很乱
真是可悲，自己教大家怎样整理，自己却没有办到
作者: goodday 时间: 2008-4-19 01:00 AM

原帖由 lost 于 2008-4-13 11:37 PM 发表
goodday，真佩服你

总觉得但一个主题是不够让你发挥的

我是玩玩啦
喂你近来好吗？？？
作者: goodday 时间: 2008-4-19 01:02 AM

原帖由 goodhermit95 于 2008-4-17 12:10 PM 发表
我的电脑virus太多了，还是format好。。。而且C：\很乱
真是可悲，自己教大家怎样整理，自己却没有办到

  我也是
我的东西很多~~~~
作者: 爱她的人 时间: 2008-4-19 10:01 PM
我看了这么多。。
可是还是看不懂。。
因为我都是直接format的！
作者: 爱她的人 时间: 2008-4-19 10:03 PM

原帖由 goodday 于 2008-4-19 01:02 AM 发表

  我也是
我的东西很多~~~~

应该没有人比我的多，
因为我harddisk有200GB可是被我用到只剩下10GB！
作者: wcs1986 时间: 2008-4-19 10:26 PM
看不明，要花多一点时间去了解了。。
作者: lost 时间: 2008-4-19 10:57 PM

原帖由 goodday 于 2008-4-19 01:00 AM 发表

我是玩玩啦
喂你近来好吗？？？

我不错啊

我总觉得我跟你这种电脑语言专才混不来

我还是当回designer好了...
作者: hui_bler 时间: 2008-4-20 09:46 PM
我最后还是FORMAT嘞
因为已经进不到嘞
累死我
作者: goodhermit95 时间: 2008-4-27 10:54 AM
不想捉，他就在
我捉，就不见了
作者: sky66000 时间: 2008-4-30 10:07 PM
高手高手！
搂主教教我们怎样抓掉咧！
感激不尽拉！
作者: goodday 时间: 2008-5-3 02:59 PM
对不起　咯
我近期比较忙

我会回来贴的
作者: 神中神 时间: 2008-5-3 10:20 PM
请问该如何开到那个tasklist??
对不起啊。。。我不懂的。。。只是想开来玩玩。。。
麻烦教我，谢谢！
作者: goodhermit95 时间: 2008-5-3 11:48 PM
标题: 回复 #23 sky66000 的帖子
就是。。。比如说target是 C:\virus.dll 就去找，洗掉
作者: goodhermit95 时间: 2008-5-3 11:48 PM
标题: 回复 #25 神中神的帖子
start》Run》CMD》tasklist
作者: goodday 时间: 2008-5-6 11:34 AM

原帖由 goodhermit95 于 2008-5-3 11:48 PM 发表
就是。。。比如说target是 C:\virus.dll 就去找，洗掉

virus.dll

还要scan 完 registry

还有autorun.inf

去 start--> run-->gpedit.msc 关掉 autorun

忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙忙
作者: goodhermit95 时间: 2008-5-7 05:56 PM
标题: 回复 #28 goodday 的帖子
umm 忙什么啊？？
作者: 小泰山 时间: 2008-5-25 01:24 AM
registry是什么？？？？
作者: choirluv 时间: 2008-5-25 03:07 AM
帖多点~ 学来骗吃~~ 哈哈哈哈
作者: goodhermit95 时间: 2008-6-7 01:26 PM
标题: 回复 #31 choirluv 的帖子
他最近很忙那
作者: goodday 时间: 2008-6-15 12:49 AM

忙叻～～～～～　
作者: goodhermit95 时间: 2008-6-15 01:52 PM
标题: 回复 #33 goodday 的帖子
怪癖的版主会扣你分的~
作者: goodday 时间: 2008-6-15 09:58 PM
我申请着版主

我打算开多多课程

还没回应，大石沉什么了
作者: jeffery5007 时间: 2008-6-16 03:07 PM
认同！FORMAT最好+方便
作者: goodday 时间: 2008-6-16 03:49 PM

原帖由 jeffery5007 于 2008-6-16 03:07 PM 发表
认同！FORMAT最好+方便

如果你的资料很重要的不能 format 呢？？

我救过自己的 code
作者: TSHsoft 时间: 2008-6-16 07:56 PM

原帖由 goodday 于 2008-6-16 03:49 PM 发表

如果你的资料很重要的不能 format 呢？？

我救过自己的 code

我认同，有时候多么小心也有不小心删除自己宝贵东西的时候。你都用什么软件救啊？EasyRecovery, Recover My Files 。。。
作者: goodhermit95 时间: 2008-6-16 09:49 PM
标题: 回复 #35 goodday 的帖子
你不是很忙吗？= =
作者: goodday 时间: 2008-6-16 10:04 PM
GetDataBack
我对了很多个钟头的电脑咯
betahan 要停停
作者: kw1437 时间: 2008-6-17 10:44 PM

原帖由 goodday 于 2008-6-16 10:04 PM 发表
GetDataBack
我对了很多个钟头的电脑咯
betahan 要停停

你很利害... 我也想学抓病毒... 但是我不懂你的乱码...
我不想给人FOMAT.. 很贵... 谁叫我是电脑白痴吗.......
自己抓很有满足感.... 对吗???
作者: liming999y 时间: 2008-6-18 02:23 AM
好貼...
感謝分享..
把她記起來
作者: goodhermit95 时间: 2008-6-18 09:34 PM
标题: 回复 #41 kw1437 的帖子
不会啦……我觉得没怎样
自己研究出一个程序语言比较有成就感
作者: goodday 时间: 2008-6-19 01:13 AM

原帖由 kw1437 于 2008-6-17 10:44 PM 发表

你很利害... 我也想学抓病毒... 但是我不懂你的乱码...
我不想给人FOMAT.. 很贵... 谁叫我是电脑白痴吗.......
自己抓很有满足感.... 对吗???

不时每个都捉到

if （抓到 ==  true ) {
output = "没钱" + “em0032" /> " ;
} else {
output = "无聊" + “浪费时间" ;
}
作者: goodday 时间: 2008-6-19 01:14 AM

原帖由 goodhermit95 于 2008-6-18 09:34 PM 发表
不会啦……我觉得没怎样
自己研究出一个程序语言比较有成就感

em0035
em0028
em0019
em0053
em0054

我没有想到那边
作者: goodhermit95 时间: 2008-6-20 10:02 PM
标题: 回复 #45 goodday 的帖子
我签名的baidu cracker 程式码（textbox1.text = "crackcode")
自己想到的，这样都可以
作者: goodday 时间: 2008-6-20 11:33 PM

原帖由 goodhermit95 于 2008-6-20 10:02 PM 发表
我签名的baidu cracker 程式码（textbox1.text = "crackcode")
自己想到的，这样都可以

你还不错嘛

你很学的很快

跟我你会 RM2000 ++ 一个月
哈哈哈哈
作者: goodhermit95 时间: 2008-6-21 08:33 PM
标题: 回复 #47 goodday 的帖子
RM2000 ++ 一个月？什么东西？
跟你？学费？什么来的
作者: ting1990 时间: 2008-6-28 05:06 PM
我想问一下
如果没有procmon.exe
还有其他方法可以check的？
作者: ★笨☆天使 时间: 2008-6-30 06:12 PM
我电脑中病毒都用system restore的
不会电脑没办法咯
这里高手真多
写的东西我都看不懂
作者: goodday 时间: 2008-7-5 07:13 PM

原帖由 ting1990 于 2008-6-28 05:06 PM 发表
我想问一下
如果没有procmon.exe
还有其他方法可以check的？

[youtube]O6U8cYBeA9A[/youtube]
作者: goodday 时间: 2008-7-5 07:16 PM
其他的我没研究我只熟 microsoft 的东西

病毒还是在里面的 restore Point  没什么强的地方
作者: goodhermit95 时间: 2008-7-6 01:07 PM
标题: 回复 #52 goodday 的帖子
不要给用户system restore把 safe mode file洗到完就可以了
我没试过
作者: my_world 时间: 2008-8-18 05:50 PM
标题: 回复 #1 goodday 的帖子
老板，你好强！
programming强，连抓virus都会！
有问题想问问！
怎么我打了tasklist再command里，但又出现了
( 'tasklist' is not recognized as an internal or external command,operable program or batch file. )
什么问题啊？
作者: goodhermit95 时间: 2008-8-18 06:12 PM
标题: 回复 #54 my_world 的帖子
没有空格
“tasklist”
作者: goodday 时间: 2008-8-19 02:54 AM
你的是xp home ???
或vista ??
作者: my_world 时间: 2008-8-19 09:12 AM
标题: 回复 #56 goodday 的帖子
原来只有xp pro能做到吗？
我的是xp home sp2，那用home就做不到啦？
作者: goodhermit95 时间: 2008-8-19 12:07 PM
没有那么说
cmd是一样的
放caplock也可以的
作者: my_world 时间: 2008-8-20 10:04 AM
标题: 回复 #55 goodhermit95 的帖子
没有空格啊。。
只是照打吧了，也不知道那里错。。
作者: goodday 时间: 2008-8-20 07:15 PM
ｈｏｍｅ　的没有的　很多没有的
ｈｏｍｅ　的很麻烦的

作者: goodhermit95 时间: 2008-8-20 08:13 PM
标题: 回复 #60 goodday 的帖子
是偶，不是全部cmd都是跟dos一样的吗？
作者: my_world 时间: 2008-8-21 05:02 PM
标题: 回复 #60 goodday 的帖子

是吗？那么vista也不能吗？
那么用home有其他方法抓吗？
作者: thamtingchee 时间: 2008-8-21 08:07 PM
我建议～洗完。
做好防备～
装internet security
norton的很好～～不过很贵～～
kaspersky的也很不错～
作者: goodhermit95 时间: 2008-8-21 09:56 PM
标题: 回复 #63 thamtingchee 的帖子
拜托啦
没有必要洗完
有antivirus还是会中virus
作者: my_world 时间: 2008-8-22 09:30 AM
标题: 回复 #64 goodhermit95 的帖子
LoL...
对咯，没有一个antivirus是万能的！
只能说在某些virus,spyware,还是trojan里有个别的强项。。。
时常还是会中的！累。。不能每次都format啊！
作者: goodhermit95 时间: 2008-8-22 10:16 AM
标题: 回复 #65 my_world 的帖子
我就是其中一个做virus的
作者: my_world 时间: 2008-8-22 11:24 AM
标题: 回复 #66 goodhermit95 的帖子
em0007
原来你就是其中一个害群之马！！
LoL..
这么容易制造virus吗？教教我吧！
作者: goodhermit95 时间: 2008-8-23 02:30 PM
标题: 回复 #67 my_world 的帖子
我没有send 给别人过
也没放上网过
你自己都说真得那么容易了
你觉得容易吗？
作者: goodday 时间: 2008-8-26 12:13 AM

写virus没钱的
跟我写 system 啦
有前途的，也有钱途
我找.net programmer
小弟弟们知道吗？？？

作者: yurco 时间: 2008-8-26 04:47 PM
只能说不能太过依赖anti virus

[ 本帖最后由 yurco 于 2008-8-26 07:06 PM 编辑 ]
作者: 黑色的悲伤 时间: 2008-9-2 09:28 AM
大大...怎样抓掉不可以显示hidden file的病毒...em0016  em0016
作者: goodhermit95 时间: 2008-9-2 02:14 PM
标题: 回复 #71 黑色的悲伤的帖子
那个根本不是病毒，只需在File Option 改一些Settings即可
作者: 黑色的悲伤 时间: 2008-9-2 03:48 PM
可是我按show过后会auto跳回没有show喔...而且还有洗不掉的autorun.inf...
作者: goodhermit95 时间: 2008-9-2 06:28 PM
标题: 回复 #73 黑色的悲伤的帖子
那么就是病毒了，用楼主的方法捉

goodday找水准多少的？
作者: ~Kai 时间: 2008-9-3 07:02 PM
我想请问一下...
那Registry里面设定Internet Explorer的标题的Registry在哪里？
Virus我已经Delete掉了，可是Internet Explorer的标题还没恢复...
作者: ~Kai 时间: 2008-9-3 07:04 PM

原帖由 黑色的悲伤 于 2008-9-2 03:48 PM 发表
可是我按show过后会auto跳回没有show喔...而且还有洗不掉的autorun.inf...

这很容易~
Restart电脑进去Safe Mode洗就好了~

然后为了防止以后Autorun病毒再次入侵，可以制造一个Folder名叫"autorun.inf"的~
作者: goodday 时间: 2008-9-4 11:27 PM
ｋａｉ　你蛮厉害的　呵呵
ａｕｔｏｒｕｎ。ｉｎｆ　你也想到　我没想到叻
作者: goodday 时间: 2008-9-4 11:38 PM
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN]

自己找找

作者: goodday 时间: 2008-9-4 11:41 PM
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Name: Hidden
Type: DWORD
Value: 1
(1: show hidden, 2: do not show)

HKEY_LOCAL_MACHINESoftware\Microsoft \Windows \CurrentVersion \Explorer \Advanced \Folder \Hidden \SHOWALL
Name: CheckedValue
Type : DWORD
value : 1
1 show
null is all bnoonono

[ 本帖最后由 goodday 于 2008-9-4 11:45 PM 编辑 ]
作者: ★笨☆天使 时间: 2008-9-5 07:35 PM
我刚刚遇到autorun的病毒
只要pendrive一连接电脑就自动copy病毒进去
delete了又出现
show all file 调了又被强制弄回hidden
作者: 黑色的悲伤 时间: 2008-9-6 11:41 AM
呵呵...我洗掉了...
进safe mode
开run打regedit然后照下面的开进去...
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,the- CheckedValue value change 2 (1).
整个过程不可以double click...你double click就走病毒了...把在c/d里面hidden的autorun.inf 还有q0ppr.exe洗掉....然后去...windows/system32 ...把hidden的最近的exe洗掉就可以了....dll file最好看日期...如果是最近的dll大多都是病毒(大多数在病毒exe的旁边名字要一样的)...跟他洗掉然后restart电脑就可以了...

[ 本帖最后由黑色的悲伤于 2008-9-6 11:42 AM 编辑 ]
作者: goodday 时间: 2008-9-6 02:59 PM

越来越多人了
作者: goodhermit95 时间: 2008-9-7 10:41 AM
标题: 回复 #80 ★笨☆天使的帖子
autorun disable 掉比较安全
除非有强的AV
作者: ★笨☆天使 时间: 2008-9-7 11:14 AM

原帖由 goodhermit95 于 2008-9-7 10:41 AM 发表
autorun disable 掉比较安全
除非有强的AV

不是我电脑中哦
朋友的
pendrive一插进电脑就自动复制几个东西到pendrive
洗不掉的
不小心让我看到autorun.inf
显试几秒就不见了
作者: 黑色的悲伤 时间: 2008-9-7 02:35 PM
病毒在电脑里面...你1插pendrive就中了...
作者: ★笨☆天使 时间: 2008-9-8 08:25 PM

原帖由 黑色的悲伤 于 2008-9-7 02:35 PM 发表
病毒在电脑里面...你1插pendrive就中了...

对就是这样
可是不懂病毒藏在哪里
作者: goodhermit95 时间: 2008-9-10 11:08 AM
标题: 回复 #86 ★笨☆天使的帖子
要show hidden file
或者把全部东西copy 出来
format pendrive
作者: ★笨☆天使 时间: 2008-9-10 06:02 PM

原帖由 goodhermit95 于 2008-9-10 11:08 AM 发表
要show hidden file
或者把全部东西copy 出来
format pendrive

show hideden file 改不回...中毒了
注册列表不敢乱调
还有病毒在电脑里...不是pendrive
fomat pendrive没用的
只要pendrive连接着电脑就没办法洗掉那个file
除非拿到没有病毒的电脑去delete
作者: goodhermit95 时间: 2008-9-10 08:16 PM
标题: 回复 #88 ★笨☆天使的帖子
你的手还真痒啊
按到这种东西
作者: ★笨☆天使 时间: 2008-9-10 08:42 PM

原帖由 goodhermit95 于 2008-9-10 08:16 PM 发表
你的手还真痒啊
按到这种东西

我电脑很安全
没事....
那是朋友的电脑
洗不掉叻
autorun.inf不懂藏在哪
作者: 黑色的悲伤 时间: 2008-9-18 12:07 PM

原帖由 ★笨☆天使 于 2008-9-10 08:42 PM 发表

我电脑很安全
没事....
那是朋友的电脑
洗不掉叻
autorun.inf不懂藏在哪

照我的方法做咯...不然的话就是format电脑...不要弄到其他registry的东西就可以了...那个只是给你看到hidden file而已..
作者: ★笨☆天使 时间: 2008-9-18 04:36 PM

原帖由 goodhermit95 于 2008-9-7 10:41 AM 发表
autorun disable 掉比较安全
除非有强的AV

请教下...怎样disable autorun??
作者: goodhermit95 时间: 2008-9-19 09:52 AM
标题: 回复 #92 ★笨☆天使的帖子
你该学用Google啦
VB还可以依赖

http://www.google.com.my/search? ... lla:en-US
作者: ★笨☆天使 时间: 2008-10-5 08:00 PM

原帖由 goodhermit95 于 2008-4-13 08:29 PM 发表
-.-不是以启动就出现了，是广告程序，无端端有IEXPLORER.EXE

20分钟前才中招....无故自己开IEXPLORER.EXE
然后就出很多QQ号码的广告
之后自动跑install..按取消就卡住了
regedit马上被改掉
ctrl+alt+del 用不到
强制hidden file ....
作者: goodhermit95 时间: 2008-10-6 08:02 PM
标题: 回复 #94 ★笨☆天使的帖子
system restore咯
作者: ★笨☆天使 时间: 2008-10-7 06:03 PM
最后真的restore了
因为怕病毒没洗完
hidden file在注册表弄回了
value被改成 0 哦

tesk manager 在注册列表的哪里调?会的教我
作者: goodhermit95 时间: 2008-10-7 10:18 PM
标题: 回复 #96 ★笨☆天使的帖子
em0011
http://www.windowsnetworking.com ... ndowsXPHomePro.html
作者: ★笨☆天使 时间: 2008-10-8 07:30 PM
谢谢...感激不尽
作者: DarkCross^^ 时间: 2009-1-3 02:15 PM
顶上去。。。有用又用em0011

欢迎光临 JBTALKS.CC (https://jbtalks.my/) Powered by Discuz! X2.5