~~T_T~~

MaaJiaa 发表于 2008-06-27 08:22:13

清早起来,看到满学校都是各式各样的学士服,于是又想起这首歌。
P.S. 貌似我现在更应该感伤的是3天以后的电动力学
       而不是妄想中明年今日滚蛋的情景
       可是,watersnow JJ也要走了啊啊啊啊~~tears~~~~



  永远的画面

  歌:张惠妹 词:廖莹如 曲:郭文贤

  就要离别        离别以前
  勇敢的流泪       已开始想念
  而你的眼神超越了语言  让期待紧紧连结这一切
  不说再见        走慢一点
  我们却了解       不管有多远
  分开了不代表会改变   放不下就代表不会变

  谁需要谁 白云和蓝天
  依偎才有 美好的画面
  大风一吹 离得并不远
  下次见面以前都记得那感觉

  芳草碧连天 故事的剧节
  寒冬已过还有春天
  希望永不凋谢
  芳草碧连天 永远的画面
  当我想念  闭上双眼
  你在(我)心里面

关键词(Tag): 复旦 毕业
阅读66次 评论2条 个人主页 扔小纸条 文件夹: 自言自语
收藏: QQ书签 del.icio.us 订阅: Google 抓虾

用复旦版卡巴或瑞星+360的看过来

MaaJiaa 发表于 2008-06-25 10:56:46

慎用360安全卫士

所有装了复旦版卡巴斯基工作站6.0,或者最新版瑞星
然后又用过360安全卫士木马查杀/清除恶评插件功能的看过来

360的上述功能不吭声就删掉注册表里面的AppInit_DLLs
可能会影响卡巴与瑞星一些功能的启动。
注:影响卡巴斯基工作站,影响KIS,但不影响KAV
  另关于AppInit_DLLs有什么用,见Smallfrogs大人的一篇帖子

其实老早就发现这个问题,只是不清楚影响有多大,
今天仔细看了一下别人的log,发现本该有的卡巴的线程注入不见了,
推断卡巴的一些保护功能会因此受到影响。
至于瑞星,我没用过不太清楚,仅依卡巴类比推测。

【预防方法】
1. 打开卡巴斯基主动防御的注册表监控功能,
    前提是你对常见的注册表项要有一定的了解,不然经常一堆的警告烦死你。
    瑞星的注册表监控我没用过,大概也和卡巴类似。
2. 不要用360安全卫士的上述功能。
3. 如果你不嫌麻烦,也可以每用一次360就修复一次。

【卡巴修复方法一】
这是对照flyingdusty的log写的,
如果你的卡巴安装在默认路径,即这个:
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations
应该可以这样来修复(我没验证过)
将以下分割线之间的内容复制到记事本,另存为扩展名为.reg的文件,
然后双击导入注册表。

-------------------- 我是分割线 --------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"

-------------------- 我是分割线 --------------------

【卡巴修复方法二】
各种安装路径应该都适用。运行regedit,找到
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
然后看看右边窗口有没有名为AppInit_DLLs的键,没有的话新建一个:
在右边窗口右键--新建--字符串值,命名为"AppInit_DLLs"
然后双击编辑,在数值数据里面填入完整路径的adialhk.dll
至于adialhk.dll的完整路径是什么,开始菜单--搜索...

对于瑞星,同卡巴修复方法二,只不过把上述adialhk.dll换成ieprot.dll
如果ieprot.dll在C:\Windows\System32目录下面的话,
填入数值数据的时候不用填路径,只填文件名ieprot.dll即可。

关键词(Tag): 卡巴斯基 瑞星 360安全卫士
阅读81次 评论 个人主页 扔小纸条 文件夹: 以毒攻毒
收藏: QQ书签 del.icio.us 订阅: Google 抓虾

Google再次被全面屏蔽?

MaaJiaa 发表于 2008-06-19 02:03:29

08年6月20日更新:
本人曾经用Google的阅读器订阅自己的博客,就是这个破窝,
但是自从我贴了这篇日志,每次用阅读器加载来自我的博客的新项目就会卡死
并且紧接着的几分钟整个google.com都“该页无法显示”
不知道到底是哪个关键词触犯到了我们敬爱的伟大滴墙?
想来想去是这个【Utral那个阿surf】么?
因为只要用Google.com(不是Google.cn)搜这个马上该页无法显示...
看来要等一段时间网页缓存更新以后才能正常用阅读器看我自己了

----------------------------------------------------

08年6月17日 13:09分再次更新:
现在已经恢复正常了...
不知道是不是因为我开通了不河蟹的Google的Site和Blog这两个服务的缘故

----------------------------------------------------

08年6月17日 3:24更新:
大概就是以前的那种套路,检测到某触发条件之后
立即全面GFWed Google.com一段时间,过段时间再恢复
比如我直接访问Google阅读器正常,
如果先访问“我的帐户”,出现该页无法显示,
然后再访问Google阅读器,也变成该页无法显示,
并且在接下来的一段时间内(半个小时?)都无法访问Google阅读器。

P.S. 关于“那种套路”是什么,大家自行查找Google和“某某岛”“发生在南京的某事件”以及“某广场”这些关键字之间的恩怨。
---------------------------------------------------

半个小时之前上Google,访问我的帐户,即
https://www.google.com/accounts/ManageAccount
还一切正常,现在再上,瞬间居然就GFW了!

同时Google阅读器也上不去,
Google Reader:http://www.google.com/reader/
Google Picasa:http://picasaweb.google.com/
Google Site:http://sites.google.com/
iGoogle:http://www.google.com/ig?source=gama&hl=zh-CN
Google 日历:http://www.google.com/calendar
Google 文件:http://docs.google.com/
Google 网页历史记录:http://www.google.com/history/?hl=zh-CN
Google 网站管理员工具:http://www.google.com/webmasters/tools
等等一系列Google服务全部被他妈的GFW

只有Gmail:http://mail.google.com
和YouTube:http://www.youtube.com
暂时幸免于难,估计是Party认为在众多国人都知道这两个站点之后再屏|蔽太过明显....

这不是什么狗屁网络问题,因为我换成【Utral那个阿surf】之后一切正常。

在不久前,一大批优秀的台湾blog服务,以及PTT等著名站点刚刚倒在GFW之下
今天终于再次轮到Google...多么美好的河蟹社会啊!

记住这个罪恶的时刻,记住“伟大的墙”的丰功伟绩,
从这一刻起大陆没有Google,只有被阉割的谷歌!
或者该说:从来我们就没有Internet,只有一个伟大河蟹的大局域网...

我要用最邪恶的语言来诅咒信|产|部以及它所有的走狗!
诅咒参与伟大的墙的研究的所有人!

P.S. 我的线路是上海电信,不知道网通情况怎么样。

关键词(Tag): google gfw 屏蔽
阅读82次 评论1条 个人主页 扔小纸条 文件夹: 愤世嫉俗
收藏: QQ书签 del.icio.us 订阅: Google 抓虾

一个对付Global/MS-DOS.com的批处理

MaaJiaa 发表于 2008-06-17 22:50:59

发信人: MaaJiaa (Google又好了?), 信区: Virus
标  题: 写好了·对付Global的批处理
发信站: 日月光华 (2008年06月17日19:02:13 星期二), 站内信件

将以下分割线之间的内容复制到记事本,另存为扩展名为.bat的文件
打印店回来按住Shift键插入U盘,然后双击这个.bat,之后就不用担心Global病毒了...
之后再双击或者右键打开/右键资源管理器命令进入U盘,可能弹出选择打开方式,
这只是Autorun.inf删掉以后的后遗症,拔下来重插U盘即可。

其他病毒的话,因为U盘里面所有文件已经都没有隐藏和系统属性,
自己看着删....

P.S. 这个东西只针对打印店回来的U盘,不是帮已经中毒的电脑杀毒...
       已经中毒的电脑如果要杀毒,参考《新·打印店Global病毒解决办法

===============我是分割线===============

@echo *********************************************
@echo 1. 自动清除U盘中的autorun.inf和MS-DOS.com
@echo 2. 自动去掉U盘中所有文件的系统/隐藏/只读属性
@echo 3. 自动匹配文件夹名清除由病毒生成的文件夹.exe
@echo
@echo        撒花感谢vinsonlv@RYGH BBS~~~~
@echo *********************************************
@set /p x=请输入U盘的盘符:
%x%:
del /f /a autorun.inf
del /f /a MS-DOS.com
attrib -s -h -r * /s /d
for /f "delims=" %%i in ('dir/b/ad') do del %%i.exe
@echo Finished!

===============我是分割线===============

P.P.S. 写得好小白啊...-,-bbb

关键词(Tag): 病毒 autorun u盘 global.exe fonts.exe ms-dos.com boom.vbs
阅读576次 评论1条 个人主页 扔小纸条 文件夹: 以毒攻毒
收藏: QQ书签 del.icio.us 订阅: Google 抓虾

新·打印店Global病毒解决办法

MaaJiaa 发表于 2008-06-17 13:14:44

08-07-17日更新:
有部分杀毒之后的遗留问题之前被我漏掉,
详见《Global/MS-DOS/Boom.vbs病毒后遗症

-------------------------------------------------------------------------

文中给出的链接可能要在每天23:00之前才能查看,
并且根据日月光华 BBS服务的稳定性,有时可能无法打开。
欢迎转载,但请保留头三行的作者和来源...

发信人: MaaJiaa (水泡..), 信区: Virus
标  题: 新·打印店病毒Global.exe解决傻瓜版
发信站: 日月光华 (2008年06月16日02:33:07 星期一), 站内信件

根据StriGes的测试报告整理的傻瓜版,大家一起撒花赞StriGes~~~~//bow
之前的那篇漏了太多内容,
尤其是这个开关机脚本C:\WINDOWS\Cursors\Boom.vbs
和病毒本体C:\WINDOWS\Help\microsoft.hlp
这两个都是用SREng扫描检查不出的项,却也是病毒最关键的两个东西
因此之前写的作废...

晚上在春晖门口靠小卖部那家打印店采样回来测试完毕。
卡巴斯基病毒库08-06-16 15:08:05 扫描U盘并不报毒,
只有激活病毒以后才会根据病毒的行为判断而报警(激活以后就难以干掉了)

【中毒症状】
1. U盘文件夹“消失”,被同名的exe文件“替代”,
2. 无法切换中文输入法
3. 开机/关机的速度变得很慢(因为要加载病毒脚本)
4. 进程中有Global.exe和Fonts.exe,结束进程马上自动恢复
5. 各个硬盘分区根目录下多出来autorun.inf和MS-DOS.com,用WinRAR或者7-zip之类软件可以看到,普通方式查看不到。
6. 其他一些不明显的症状...

【解决方法】
1. 用XDelBox删除以下文件(右键剪贴板导入不检查路径):
C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Help\microsoft.hlp
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\autorun.inf
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\tskmgr.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\rndll32.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\Cursors\Boom.vbs
以及各个硬盘分区下的
X:\Autorun.inf
X:\MS-DOS.com

以上list导入完毕之后,右键选择立即重起删除,
之后的关机过程可能要等待好几分钟的时间,甚至出现死机,可以强行关机重起。

重起删除后,残留的需要手动清除的病毒尸体还有:
文件夹C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}
文件夹C:\WINDOWS\system32\regedit.exe(可能有)
还有病毒创建的一个可能文件名不确定的.tmp文件(整个Temp可以清空)
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF****.tmp

2. 将以下分割线之间的内容复制到记事本,保存为扩展名为.reg的文件,
 然后运行“regedt32
 选择文件--导入,导入刚刚保存的.reg文件。

=============== .reg开始的分割线 ===============

Windows Registry Editor Version 5.00

; 以分号开头的行为注释的废话

; 清除病毒屏保
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="600"
"SCRNSAVE.EXE"=-
"AutoEndTasks"="0"

; 修复文件关联
[HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,\
  63,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,00,22,00,20,00,25,00,2a,\
  00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSCFile\Shell\Open\Command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,\
  63,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,00,22,00,20,00,25,00,2a,\
  00,00,00
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
@="regedit.exe \"%1\""

; 删除开关机脚本
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts]

; 恢复显示com和exe的扩展名
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile]
"NeverShowExt"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
"NeverShowExt"=-

; 清除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
@=-
"C:\WINDOWS\system\KEYBOARD.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"sys"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
@=-

; 清除映像劫持
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]

; 恢复显示系统文件选项相关,这两个键的关系我还没搞太明白
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"

; MUICache有什么用不大清楚,这一堆似乎不重要
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"=-
"C:\WINDOWS\system32\dllcache\Default.exe"=-"C:\WINDOWS\Fonts\Fonts.exe"=-

; 不知道Global在干什么
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components#CONTENT#]
@=""
"Source"=-
"SubscribedURL"=-
"FriendlyName"=-
"Flags"=-
"Position"=-
"CurrentState"=-
"OriginalStateInfo"=-
"RestoredStateInfo"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=-
"Settings"=-
"GeneralFlags"=-

; 还是不知道在干什么
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableStatusMessages"=-

; 清除残留信息
[-HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

=============== .reg 完毕的分割线 ===============

4. 建议运行“sigverif”检查文件的数字签名,如果有未经签名验证的文件,
 从别人的机器上拷一个过来覆盖原文件。
 (关于explorer.exe被替换的问题,参考snowflurry发的那篇帖子
 附我用的有点麻烦的方法:
 我发现我的explorer.exe被替换,
 于是我打开任务管理器,结束explorer.exe的进程,
 然后任务管理器--文件--新建任务--浏览
 找到C:\WINDOW\explorer.exe删除,
 再找到从别人那里拷过来的正确的explorer.exe
 将它复制到C:\WINDOWS下面,选中打开--确定

5. 防毒从养成良好的U盘使用习惯开始,推荐阅读《U盘使用Tips总结

6. 对于U盘里面“消失不见”的文件夹,可以运行(其中X为U盘盘符):
 attrib -s -h -r X:\* /s /d

7. 防止再次中招,打印回来的U盘可以用这个批处理文件来清理。

关键词(Tag): 病毒 autorun u盘 global.exe fonts.exe ms-dos.com boom.vbs
阅读1310次 评论5条 个人主页 扔小纸条 文件夹: 以毒攻毒
收藏: QQ书签 del.icio.us 订阅: Google 抓虾