UID20349
注册时间2008-3-8
最后登录1970-1-1
在线时间 小时
听众
收听
性别保密
阅读权限15
|
马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
在论坛上看到好多朋友在杀软卸载时出了问题,卸载不干净或是卸了一半,还有不少文件没删除,但是又删除不了。有天就碰到个坛友eav4.0卸载出了问题,关键的服务停不了,况且有自我保护,也没法删除这个服务,重装杀软也不行。经过几天思考,想出这个办法,觉得理论上可行,就来给大家分享下,让大家试一试。
理论:我们知道系统内有不少进程是以system权限运行的,比如winlogon.exe等等,所以系统内是有一个system账户的,我们只要激活这个账户,我们的权限就是system了而不是administrator了,而平常是不能操作系统内核的,只能通过expolorer.exe(桌面)这个shell。
工具:mt.exe(用来激活system账户) whoami.exe(用来查看当前账户权限),****这两个都是ms-dos程序,得在cmd下运行****
超级巡警工具箱(个人觉得很不错,功能很全面。扫除杀软遗留文件、服务、启动项等)
最后在用注册表编辑器删除杀软遗留下的一些项
方法:先打开cmd,然后再用任务管理器结束explorer.exe,再用alt+tab切换到cmd,在cmd中运行(mt文件路径)mt -su explorer.exe,等会就有回显了。然后再用whoami查看当前权限,看成功了没有。以前我在2000下测试通过,xp没通过,好像是dep(数据执行保护)干扰了explorer执行堆栈(我对堆栈也是一知半解,谁知道麻烦教教我)。dep关闭方法,把boot.ini文件中的execute=optin改为execute=always off,这样就关闭了dep(得重启)
这样我们获得了系统权限后用工具进行大扫除就行了。清理步骤我就不说了,自己研究研究,动动手,动动脑。
以上只是本人在理论上推导出的方法,没经过实践,要是不能解决问题请大家见谅!要是有不对的地方,请大家多多指正!
付:nod32报mt为病毒,是误报!
刚才又扫了下,都报mt为病毒,应该是误报,不信的话在虚拟机中测试下。因为是操作shell提升权限,所以杀软误认为是木马,因为杀软是面对被动感染用户来说的,不是面对我们主动使用者来说的,比如你主动使用灰鸽子木马客户端,杀软它也报木马。瑞星这次报的还比较准,名字对了。
文件 ______.rar 接收于 2008.12.12 10:05:31 (CET)
| 反病毒引擎 | 版本 | 最后更新 | 扫描结果 | | AhnLab-V3 | 2008.12.12.0 | 2008.12.12 | - | | AntiVir | 7.9.0.45 | 2008.12.12 | BDS/Agent.KM | | Authentium | 5.1.0.4 | 2008.12.11 | W32/Backdoor.DAT | | Avast | 4.8.1281.0 | 2008.12.11 | Win32:GinaPass-E | | AVG | 8.0.0.199 | 2008.12.12 | BackDoor.Agent.DC | | BitDefender | 7.2 | 2008.12.12 | Backdoor.Generic.92635 | | CAT-QuickHeal | 10.00 | 2008.12.11 | - | | ClamAV | 0.94.1 | 2008.12.12 | Trojan.Agent-1937 | | Comodo | 733 | 2008.12.11 | Backdoor.Win32.Agent.KM | | DrWeb | 4.44.0.09170 | 2008.12.12 | BackDoor.Gina | | eSafe | 7.0.17.0 | 2008.12.11 | Win32.Agent.km | | eTrust-Vet | 31.6.6257 | 2008.12.12 | - | | Ewido | 4.0 | 2008.12.11 | Backdoor.Agent.km | | F-Prot | 4.4.4.56 | 2008.12.11 | W32/Backdoor.DAT | | F-Secure | 8.0.14332.0 | 2008.12.12 | Backdoor.Win32.Agent.ayu | | Fortinet | 3.117.0.0 | 2008.12.12 | W32/Agent.KM!tr.bdr | | GData | 19 | 2008.12.12 | Backdoor.Generic.92635 | | Ikarus | T3.1.1.45.0 | 2008.12.12 | Win32.SuspectCrc | | K7AntiVirus | 7.10.551 | 2008.12.11 | Backdoor.Win32.Agent.km | | Kaspersky | 7.0.0.125 | 2008.12.12 | Backdoor.Win32.Agent.ayu | | McAfee | 5461 | 2008.12.11 | BackDoor-CPX | | McAfee+Artemis | 5461 | 2008.12.11 | Generic!Artemis | | Microsoft | 1.4205 | 2008.12.12 | Backdoor:Win32/Agent.JT | | NOD32 | 3685 | 2008.12.12 | Win32/Agent.KM | | Norman | 5.80.02 | 2008.12.11 | W32/Agent.EYS | | Panda | 9.0.0.4 | 2008.12.11 | Bck/Aemon.AH | | PCTools | 4.4.2.0 | 2008.12.11 | Trojan.Agent.BUJ | | Prevx1 | V2 | 2008.12.12 | - | | Rising | 21.07.41.00 | 2008.12.12 | Hack.MT | | SecureWeb-Gateway | 6.7.6 | 2008.12.12 | Trojan.Backdoor.Agent.KM | | Sophos | 4.36.0 | 2008.12.12 | Troj/Agent-KM | | Sunbelt | 3.2.1801.2 | 2008.12.11 | Backdoor.Win32.Agent.km | | Symantec | 10 | 2008.12.12 | Hacktool | | TheHacker | 6.3.1.2.184 | 2008.12.11 | Backdoor/Agent.km | | TrendMicro | 8.700.0.1004 | 2008.12.12 | BKDR_AGENT.DP | | VBA32 | 3.12.8.10 | 2008.12.11 | Backdoor.Win32.Agent.ayu | | ViRobot | 2008.12.12.1515 | 2008.12.12 | - | | VirusBuster | 4.5.11.0 | 2008.12.11 | Trojan.Agent.BUJ |
|
|
|
|
|
|
|
|
|
|
|
|
|
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2008-12-12 16:03
提升卡
置顶卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2008-12-12 16:44