史萊姆論壇

返回   史萊姆論壇 > 專業主討論區 > 一般電腦疑難討論區
忘記密碼?
論壇說明

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


發文 回覆
 
主題工具 顯示模式
舊 2007-01-14, 08:23 PM   #1
senchiyo
註冊會員
 
senchiyo 的頭像
榮譽勳章
UID - 260558
在線等級: 級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時
註冊日期: 2007-01-13
文章: 238
精華: 0
現金: 287 金幣
資產: 417 金幣
Exclamation 求助 - 檔名中含有 services 字串者全都自動被隱藏~~!!

救命啊,各位路過的大大,
不知何時開始,我的電腦中所有檔名中含有 services 字串的檔案全都被隱藏
在資料夾中完全看不到,即使設定顯示所有隱藏檔和受保護的系統檔也是沒用,
但是在命令模式下看得到...

我懷疑是中毒,註冊表被寫了什麼東西,於是用 regedit 尋找 services 字串
(加選字串完全符合),結果尋找一會兒後 regedit 就被自動關閉。

這到底是什麼情況啊,第一次遇到,網路上也找不到類似症狀的討論

拜託了,各位大大,如果你知道怎麼解的話務必出手相救,感激不盡!!

P.S. 我檢查過我沒有裝任何可以隱藏特定檔名的程式,
而且我的權限是 Administrator,進安全模式也是一樣的情況。
senchiyo 目前離線  
送花文章: 303, 收花文章: 139 篇, 收花: 600 次
回覆時引用此帖
舊 2007-01-14, 10:26 PM   #2 (permalink)
長老會員
 
GaMNiA 的頭像
榮譽勳章
UID - 25903
在線等級: 級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時
註冊日期: 2003-01-14
文章: 1674
精華: 0
現金: 430 金幣
資產: 13278 金幣
預設

我前一陣子也發生和你類似的問題,設定顯示所有隱藏檔和受保護的系統檔,還是看不到隱藏檔。
一堆改登錄檔的方法試了好多種,也都沒效,掃毒也掃不到毒。
最後祭出我的必殺技........重...灌... =_="

不過你可以試試「系統還原」...
__________________
GaMNiA 目前離線  
送花文章: 96, 收花文章: 318 篇, 收花: 678 次
回覆時引用此帖
向 GaMNiA 送花的會員:
senchiyo (2007-01-15)
感謝您發表一篇好文章
舊 2007-01-15, 11:28 AM   #3 (permalink)
註冊會員
 
senchiyo 的頭像
榮譽勳章
UID - 260558
在線等級: 級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時
註冊日期: 2007-01-13
文章: 238
精華: 0
現金: 287 金幣
資產: 417 金幣
預設

目前使用上只有這個問題,所以還不想重灌...


這真的是個案嗎? 沒有人跟我有一樣的問題嗎?
會不會是很多人還不知道而已?
提供一個測試方法:

新建一個文字檔(.txt),然後重新命名為 services.txt。

我想起前幾天中過這個毒: http://malware-test.com/blog/archives/2007/01/02/105
但不曉得有沒有關連。如他所言,我的卡巴也掃不到,不過過了幾天,
卡巴放出新的病毒定義後就抓到了。
senchiyo 目前離線  
送花文章: 303, 收花文章: 139 篇, 收花: 600 次
回覆時引用此帖
舊 2007-01-15, 11:39 AM   #4 (permalink)
長老會員
 
GaMNiA 的頭像
榮譽勳章
UID - 25903
在線等級: 級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時
註冊日期: 2003-01-14
文章: 1674
精華: 0
現金: 430 金幣
資產: 13278 金幣
預設

我是說先試試「系統還原」,重灌才是最後的方法,
能不重灌就盡量不重灌,找出問題的解決方法對自己才有幫助。

services.txt 我加上隱藏和系統屬性,還是看得到...
可能是你的登錄檔被改掉了...
GaMNiA 目前離線  
送花文章: 96, 收花文章: 318 篇, 收花: 678 次
回覆時引用此帖
舊 2007-01-15, 02:46 PM   #5 (permalink)
長老會員
 
GaMNiA 的頭像
榮譽勳章
UID - 25903
在線等級: 級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時
註冊日期: 2003-01-14
文章: 1674
精華: 0
現金: 430 金幣
資產: 13278 金幣
預設

下面的登錄碼,你試試看,匯入後需重新開機一下。
ShowFiles.reg 功能是顯示副檔名及隱藏檔和系統檔。

----------------- 虛線以下剪下,存成 ShowFiles.reg ------------------
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"SuperHidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
GaMNiA 目前離線  
送花文章: 96, 收花文章: 318 篇, 收花: 678 次
回覆時引用此帖
向 GaMNiA 送花的會員:
senchiyo (2007-01-15)
感謝您發表一篇好文章
舊 2007-01-15, 08:54 PM   #6 (permalink)
註冊會員
 
senchiyo 的頭像
榮譽勳章
UID - 260558
在線等級: 級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時
註冊日期: 2007-01-13
文章: 238
精華: 0
現金: 287 金幣
資產: 417 金幣
預設

謝謝,可惜還是無效。

目前系統中沒有可疑進程,也沒有異常網路傳輸,
完全不像是中毒的樣子...
如果是註冊表被改,我倒是很想知道改哪裡能有這
麼棒的效果,這樣以後就可以拿來保護重要檔案了
所以我想應該也不是註冊表的問題,不然應該找得到
這種功能的文章。
想來想去覺得是軟體衝突或軟體故障的可能性比較高,
以前Windows98時代,曾經一次系統故障後居然出現在
Windows2000上才能看到的功能,有夠神奇。
senchiyo 目前離線  
送花文章: 303, 收花文章: 139 篇, 收花: 600 次
回覆時引用此帖
舊 2007-01-15, 09:09 PM   #7 (permalink)
長老會員
榮譽勳章
UID - 548
在線等級: 級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時
註冊日期: 2002-12-06
住址: 桃園
文章: 8606
現金: 1491 金幣
資產: 1183995 金幣
預設

引用:
想來想去覺得是軟體衝突或軟體故障的可能性比較高,
以前Windows98時代,曾經一次系統故障後居然出現在
那很有可能是硬碟出問題喔

您找找avast 4.7這套軟體
然後更新病毒馬後,讓他在系統尚未進入視窗畫面時開始掃毒
看看能不能掃到病毒或惡意程式

<試試>
__________________
地獄變現記
[人身得來不易,願大家能尊重生命--勿傷胎命][好淫者請好自為之吧--割鳥]
南泉禪師道:
道不屬知,不屬不知。知是妄覺,不知是無記。若真達不疑之道,猶如太虛,廓然蕩豁,豈可強是非邪?」
德山宣鑒禪師:
「如果明白無事,則勿妄求,妄求而得,亦非得也。汝但無事於心,無心於事,則虛而靈,空而妙。若毛端許,言之本末者,皆為自欺。何故?毫氂繫念,三塗業因。瞥爾情生,萬劫羈鎖。聖名凡號,盡是虛聲。殊相劣形,皆是幻色。汝欲求之,得無累乎?」
不知道 目前離線  
送花文章: 5469, 收花文章: 5341 篇, 收花: 24549 次
回覆時引用此帖
向 不知道 送花的會員:
senchiyo (2007-01-15)
感謝您發表一篇好文章
舊 2007-01-15, 10:11 PM   #8 (permalink)
註冊會員
 
senchiyo 的頭像
榮譽勳章
UID - 260558
在線等級: 級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時
註冊日期: 2007-01-13
文章: 238
精華: 0
現金: 287 金幣
資產: 417 金幣
預設

引用:
作者: 不知道
那很有可能是硬碟出問題喔

您找找avast 4.7這套軟體
然後更新病毒馬後,讓他在系統尚未進入視窗畫面時開始掃毒
看看能不能掃到病毒或惡意程式

<試試>
謝謝提供這個新的方法,值得一試。
試之前想請問一下,裝這個要先移除卡巴嗎?
senchiyo 目前離線  
送花文章: 303, 收花文章: 139 篇, 收花: 600 次
回覆時引用此帖
舊 2007-01-15, 10:20 PM   #9 (permalink)
長老會員
 
GaMNiA 的頭像
榮譽勳章
UID - 25903
在線等級: 級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時
註冊日期: 2003-01-14
文章: 1674
精華: 0
現金: 430 金幣
資產: 13278 金幣
預設

引用:
作者: senchiyo
我懷疑是中毒,註冊表被寫了什麼東西,於是用 regedit 尋找 services 字串
(加選字串完全符合),結果尋找一會兒後 regedit 就被自動關閉
我重新把文章看了一遍,覺得你也有可能是某些系統檔有點問題(像是 .dll .vxd .sys)
例如:某些軟體安裝時將舊版本的dll蓋到較新版本的dll (這只是推測舉例說明而已)

還有一個情況是......登錄檔部份損壞。
軟體衝突也是有可能的。
GaMNiA 目前離線  
送花文章: 96, 收花文章: 318 篇, 收花: 678 次
回覆時引用此帖
舊 2007-01-15, 10:26 PM   #10 (permalink)
長老會員
榮譽勳章
UID - 548
在線等級: 級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時級別:59 | 在線時長:3787小時 | 升級還需:53小時
註冊日期: 2002-12-06
住址: 桃園
文章: 8606
現金: 1491 金幣
資產: 1183995 金幣
預設

引用:
作者: senchiyo
謝謝提供這個新的方法,值得一試。
試之前想請問一下,裝這個要先移除卡巴嗎?

聽說會跟卡巴衝
不過跟NOD32就不會

<參考>
不知道 目前離線  
送花文章: 5469, 收花文章: 5341 篇, 收花: 24549 次
回覆時引用此帖
向 不知道 送花的會員:
senchiyo (2007-01-16)
感謝您發表一篇好文章
舊 2007-01-16, 08:14 PM   #11 (permalink)
註冊會員
 
senchiyo 的頭像
榮譽勳章
UID - 260558
在線等級: 級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時級別:10 | 在線時長:140小時 | 升級還需:25小時
註冊日期: 2007-01-13
文章: 238
精華: 0
現金: 287 金幣
資產: 417 金幣
預設

最後決定在命令模式下手工抓毒,
運氣不錯,30分鐘就找到了可疑程式,
把牠們都改名並重啟動後就恢復正常了

我用卡巴重掃這些檔案竟然只抓出2隻!
但我真正不爽的是,既然卡巴能抓出兩隻,
為什麼在我改檔名前一隻都抓不出來?
裝你何用? 臭卡巴

我自己又研究了一下,了解了牠們是利用一個dll來
掛載到services.exe並隱藏進程,而且有一個特徵,
所有svchost.exe進程也都會隱藏!!
但至今我還搞不懂牠們是如何隨開機自動啟動的,
幾處能設定隨系統啟動的地方都沒有指向這些檔案
的值,非常奇怪。

總之,這個病毒我用最新病毒定義都抓不出來,應該
是新病毒沒錯,大家要小心!
senchiyo 目前離線  
送花文章: 303, 收花文章: 139 篇, 收花: 600 次
回覆時引用此帖
向 senchiyo 送花的會員:
GaMNiA (2007-01-16)
感謝您發表一篇好文章
舊 2007-01-16, 08:37 PM   #12 (permalink)
長老會員
 
GaMNiA 的頭像
榮譽勳章
UID - 25903
在線等級: 級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時級別:28 | 在線時長:929小時 | 升級還需:28小時
註冊日期: 2003-01-14
文章: 1674
精華: 0
現金: 430 金幣
資產: 13278 金幣
預設

嗯~不錯喔...樓主自己抓出來了...
現在的病毒還真是麻煩,一些奇奇怪怪的狀況,真難判斷...
GaMNiA 目前離線  
送花文章: 96, 收花文章: 318 篇, 收花: 678 次
回覆時引用此帖
舊 2007-01-18, 09:56 AM   #13 (permalink)
長老會員
 
rezard 的頭像
榮譽勳章
UID - 5875
在線等級: 級別:41 | 在線時長:1895小時 | 升級還需:37小時級別:41 | 在線時長:1895小時 | 升級還需:37小時級別:41 | 在線時長:1895小時 | 升級還需:37小時級別:41 | 在線時長:1895小時 | 升級還需:37小時級別:41 | 在線時長:1895小時 | 升級還需:37小時級別:41 | 在線時長:1895小時 | 升級還需:37小時
註冊日期: 2002-12-08
住址: 夢幻之島福爾摩沙
文章: 4595
精華: 0
現金: 258 金幣
資產: 25680236 金幣
預設

幾個月前的資安課程中,老師曾示範使用NT的rootkit隱藏特定字元的資料夾、檔案、程序等,駭客或惡意碼只要開機自動執行相關程式,要隱藏不讓使用者看見卻背地執行服務,不是難事。

至於如何駭入被駭電腦,只要該電腦不隨時修補漏洞,又無防火牆等防護,隨便用漏洞攻擊程式取得最高權限,埋下傾聽連線程式,再用匿蹤功用的rootkit隱匿行蹤,除非被駭者的資安防護功力具一定水準,否則幾乎不會馬上察覺...從此駭客又多了一部跳板,俗稱僵屍電腦。

小弟曾實做作業,使用駭客工具匿蹤埋類似telnet的程式,在win2000 sp4不再上安全性更新且不安裝軟體防火牆的情況下,很簡單的就被入侵成功。

所以,在這個網網互連的時代,千萬別再鐵齒PC什麼防護都不裝,否則總有一天會是檢調找上你,說你的電腦入侵別人,電腦被扣押,人被帶回偵訊...
__________________
【詠螢】
的歷流光小,飄颻弱翅輕。恐畏無人識,獨自暗中明。
[IMG][/IMG]
rezard 目前離線  
送花文章: 127322, 收花文章: 3952 篇, 收花: 21079 次
回覆時引用此帖
向 rezard 送花的會員:
senchiyo (2007-01-19)
感謝您發表一篇好文章
發文 回覆



發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 01:33 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1