yoyo007
論壇貴賓
 
菸草撐住的日子
  
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
|
2008-3-22 08:12 PM |
|
xp20060726
榮譽會員
隨緣放下,輕安自在.
 
積分 82058
發文 8761
註冊 2006-7-26
來自 無緣大慈,同體大悲.
狀態 離線
|
#2 感謝您提供的分享!
有時候很納悶,一些病毒很不容易清除掉!
像防毒軟體或防護系統,也不見得就能清理乾淨!
甚至於用釣魚式的方法也無耐何,
這款木馬清理工具,可以來試試它的能耐!!
=================================
雖然有防毒防護系統,不過最好還是要用"GHOST"先備份起來製成光碟再說;
我這裡有GHOST 8.3版的執行與還原過程,也曾貼過文件,有需要的網友可以
PM給我,當附上資料,馬上就好!!!...
感謝版大的分享!!!
[ Last edited by xp20060726 on 2008-3-24 at 06:52 PM ]
|
|
|
2008-3-22 09:16 PM |
|
a2213572
高級會員
積分 7539
發文 1477
註冊 2006-5-20
狀態 離線
|
#3
功力太淺.只能看看!
感謝yoyo 大大分享!
|
|
|
2008-3-22 09:29 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
#4
| Quote: | Originally posted by xp20060726 at 2008-3-22 21:16:
有時候很納悶,一些病毒很不容易清除掉!
像防毒軟體或防護系統,也不見得就能清理乾淨!
甚至於用釣魚式的方法也無耐何, |
|
流氓需要流氓的方式來處理。
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
|
2008-3-22 10:46 PM |
|
yeong86
一般會員
積分 243
發文 46
註冊 2005-9-13
狀態 離線
|
#5
首先感謝版主實用的小工具。電腦最近變慢了,用這軟體來查看看,有什麼怪東西在作怪。謝謝您囉。
|
|
|
2008-3-22 11:35 PM |
|
e722146
金卡會員
積分 17398
發文 5052
註冊 2006-5-13
來自 高雄
狀態 離線
|
#6
超棒的系統安全工具ㄟ!
一套實用的軟件!
謝謝無私提共喔!
|
 |
|
|
2008-3-22 11:47 PM |
|
osk
金卡會員
化龍轉鳳趴趴走
積分 21354
發文 2612
註冊 2005-9-5
來自 地球=防衛隊
狀態 離線
|
#7
手動清理木馬病毒工具..
這個功能似乎不錯..
下載測試看看..
感謝 版兄 分享 ^^
|
 |
|
|
2008-3-22 11:56 PM |
|
soro
進階會員
積分 2891
發文 724
註冊 2005-9-13
狀態 離線
|
#8
光看版大介紹就覺得這套程式相當不錯,要是能有效
手動清理木馬病毒,那真是太棒了.
下載研究,感謝版大熱心分享!
|
|
|
2008-3-23 05:52 AM |
|
tsjking
高級會員
積分 6906
發文 982
註冊 2007-1-20
來自 台灣台東
狀態 離線
|
#9
更新程式後測試結果出現如下的訊息,請問yoyo大要如何來處理才好呢
編號 異常
0xBA NtRead VirtualMemory 0x805B3D02 \windows\system32\hel.dll yes
0x7a NtOpen Process 0x805CACFE \windows\system32\hel.dll yes
0x115 NtWrite VirtualMemory 0x805B3E0C \windows\system32\hel.dll yes
這是微軟的一個檔案,右鍵選選單中有還原的選項,卻不太敢用,有勞賜劍的
yoyo大教一下,因為不太清楚,不敢下手,謝謝中文化及分享
|
有下有回真君子!有下無回真小人 |
|
|
2008-3-23 09:58 PM |
|
lin5105
高級會員
積分 6290
發文 1433
註冊 2006-8-13
狀態 離線
|
#10
不同的防毒防駭軟件,對病毒的攔截,因其設計的嚴謹寬鬆不一,有時判斷出的病毒或木馬,常有不同!
如果可以用手動來清除,不啻是個好方法!!可避免誤判的檔案被刪!!
Thanks~~
|
|
|
2008-3-23 11:40 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
#11
| Quote: | Originally posted by tsjking at 2008-3-23 21:58:
更新程式後測試結果出現如下的訊息,請問yoyo大要如何來處理才好呢
編號 異常
0xBA NtRead VirtualMemory 0x805B3D02 \windows\system32\hel.dll yes
0x7a NtOpen Process 0x805CACFE \windows\system32\hel.dll yes
0x115 NtWrite VirtualMemory 0x805B3E0C \windows\system32\hel.dll yes
這是微軟的一個檔案,右鍵選選單中有還原的選項,卻不太敢用,有勞賜劍的
yoyo大教一下,因為不太清楚,不敢下手,謝謝中文化及分享 |
|
我系統沒有這個 hel.dll,且找了下網路,看到:http://zhidao.baidu.com/question/41347167.html?fr=qrl;如果 tsjking 兄確定 hel.dll 是正常的檔案,忽略它即可。
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
|
2008-3-24 01:53 AM |
|
tsjking
高級會員
積分 6906
發文 982
註冊 2007-1-20
來自 台灣台東
狀態 離線
|
 #12
感謝yoyo大的回應及資訊,頭一次用它比較怕怕,雖然系統有裝還原了
但不確定下還是不敢冒然行事,看了百度的資訊應該可以試一下,雖然
這個檔案有標微軟的出處,應該可以拿它來祭劍測試一下,再次謝謝
這個[兄]不敢當,我是4尾5出的年級,更何況還要有勞您的幫忙
|
有下有回真君子!有下無回真小人 |
|
|
2008-3-24 09:59 AM |
|
benleung
資深會員
積分 4188
發文 605
註冊 2006-5-7
狀態 離線
|
#13
先收藏,日後才查明一下,
謝過YOYO大,
先收集版區近日各大的作品慢慢消化.
|
|
|
2008-3-24 06:35 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
#14
| Quote: | Originally posted by tsjking at 2008-3-24 09:59:
感謝yoyo大的回應及資訊,頭一次用它比較怕怕,雖然系統有裝還原了
但不確定下還是不敢冒然行事,看了百度的資訊應該可以試一下,雖然
這個檔案有標微軟的出處,應該可以拿它來祭劍測試一下,再次謝謝
這個[兄]不敢當,我是4尾5出的年級,更何況還要有勞您的幫忙 |
|
tsjking 兄客氣了,相關操作可參考 Wsyscheck 的簡要說明:
| Quote: | SSDT 檢查:
預設顯示所有的 SSDT 表,紅色表示核心被 HOOK 的函式。檢視第三方模組,可以雙按標籤 [映像路徑] 排序,則第三方 HOOK 的模組會排在一起列在最前面。也可以取消 [全部顯示],則僅顯示入口改變了的函式。
SSDT 檢查的 [代碼異常] 欄位如顯示 [YES],表示該函式被 Inline Hook。如果一個函式同時存在代碼 HOOK 與位址 HOOK,則對應的模組路徑顯示的是 Inline Hook 的路徑,而使用 [還原目前函式代碼] 功能只還原 Inline Hook,路徑將顯示為位址 HOOK 的模組路徑,再使用 [還原目前函式位址] 功能就還原到預設的函式了。
使用 [還原所有函式] 功能則同時還原上述兩種 HOOK。
發現木馬修改了 SSDT 表時,請先還原 SSDT,再做登錄檔刪除等動作。 |
|
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
|
2008-3-27 08:03 PM |
|
tsjking
高級會員
積分 6906
發文 982
註冊 2007-1-20
來自 台灣台東
狀態 離線
|
#15
| Quote: | Originally posted by yoyo007 at 2008-3-27 08:03 PM:
tsjking 兄客氣了,相關操作可參考 Wsyscheck 的簡要說明:
|
|
我在兩台電腦裡都有發現這個檔案,一台用還原目前涵式代碼..沒事,另一台筆
電用同樣的方式,結果一按還原就重開機了,不過在發生這個原因前,剛好測試
安裝了資料夾捷徑出錯,沒關機隔了一天重新執行這把劍,就出現了上述的情
形,大致上如果在ssdt出現異常代碼,理論上應該就是有問題了,還須要研究看
看才能更深入了解這個工具的用法,初用都是看到影子就開槍,謝謝yoyo大
回覆,了解更多,還有這工具似乎沒有辦法在沙盤中執行,都會出錯,有空在了解
依大大的說法用了還原所有涵式後電腦就重開機了,但再執行Wsyscheck後,沒
有出現異常代碼的情形了,真的要好好研究這個工具的功能及用法了
[ Last edited by tsjking on 2008-3-27 at 08:37 PM ]
|
有下有回真君子!有下無回真小人 |
|
|
2008-3-27 08:22 PM |
|
七彩琉璃雨
論壇貴賓
雲眉站掌門人
積分 21404
發文 1287
註冊 2005-8-31
來自 九重天外 臥雲居
狀態 離線
|
|
|
2008-3-27 08:34 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
|
|
2008-3-29 03:48 PM |
|
PLUS+
中級會員
積分 1044
發文 226
註冊 2007-8-5
來自 不存在的地方
狀態 離線
|
#18
好寶劍!
好武功!
人劍合一天下無敵!
已經過了一個月了......(yoyo大真用心~..~)
看來尚無毒魔可逃出其劍氣之下
世界太平~~~
隨身攜帶
不需開鋒可迅速出銷
感謝掌門提供如此神器
呵呵
|
|
|
2008-3-31 08:58 PM |
|
maoborjyh
進階會員
積分 2576
發文 904
註冊 2007-9-25
來自 tw
狀態 離線
|
#19
3Q感恩謝謝(流氓需要流氓的方式來處理。)讚啦
|
|
|
2008-4-10 12:42 PM |
|
SNOOPYSP
基本會員
積分 125
發文 24
註冊 2008-2-19
狀態 離線
|
 #20
感謝大大無私分享
希望以後還能繼續分享~~
感謝大大無私分享
希望以後還能繼續分享~~
|
|
|
2008-5-12 07:11 PM |
|
