通用U盘修改主页的方法貌似很神奇.

zhengshanwu

通用U盘修改主页的方法貌似很神奇.我在GHOST完毕后删除upset.exe仍然被修改主页,不知道什么原理?望高手指点迷津.

zhs509

难道是装完之后修改系统吗？在开始菜单启动添加XX内容或者修改硬盘系统注册表吗？

爱情五保户

看来这点值得学习啊，哈哈

ntsyh

原帖由 zhengshanwu 于 2012-3-1 08:42 发表
通用U盘修改主页的方法貌似很神奇.我在GHOST完毕后删除upset.exe仍然被修改主页,不知道什么原理?望高手指点迷津.

不然怎么能够是置顶贴，只有请教作者高手了，解铃还须系铃人。

zhs509

在没有获利的可能下，商家是不会考虑注入资金的

250662772

启动pe以后就修改?还是运行某一个软件之后才修改呢?弄清楚就知道那个软件被动手脚了,这个pe就是一个流氓

"\Documents and Settings\All Users\「开始」菜单\程序\启动\upset.exe"

"\windows\system32\config\software"
"\windows\system32\config\SYSTEM"
"\windows\system32\config\COMPONENTS"

"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL"
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page"
"HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start Page"

除上述之外还有


[ 本帖最后由 250662772 于 2012-3-1 13:42 编辑 ]

jianliulin

直接load 注册表文件，修改即可

zhengshanwu

是在PE加载配置单元么?

250662772

整个一个大流氓,利益驱动啊

my9823

听说修改一台2元！难怪啊！

于山

原帖由 zhengshanwu 于 2012-3-1 08:42 发表
通用U盘修改主页的方法貌似很神奇.我在GHOST完毕后删除upset.exe仍然被修改主页,不知道什么原理?望高手指点迷津.

可能病毒存在主引导记录(MBR)之中,所以ghost恢复后仍然存在,必须要重写MBR,就OK了!

250662772

不是你说的那样的,里面有个用au3编写的流氓程序,启动pe后不停的修改注册表并添加启动项,至于是哪个文件,用杀毒软件一扫便知

uuasda

不用不就行了啊，这么多的好PE呢

星语风

真有心研究的话，在虚拟机下解开PE，研究一下pecmd.ini然后及其相关文件就应该知道大概了

在无忧论坛混的，用那个流氓真的不应该啊
我只用水大的PE，有新版本我就跟进折腾，然后修改放在自己的U盘中，用的舒心，用的放心

于山

原帖由 250662772 于 2012-3-1 17:08 发表
不是你说的那样的,里面有个用au3编写的流氓程序,启动pe后不停的修改注册表并添加启动项,至于是哪个文件,用杀毒软件一扫便知

如果是那样,先格式化系统盘,再ghost恢复就可以了!

250662772

原帖由 2010yg 于 2012-3-2 06:13 发表

如果是那样,先格式化系统盘,再ghost恢复就可以了!

那也没用,这个流氓软件就在pe进程里面一直运行着呢,除非把此进程结束掉,或者把此文件从那3个pe iso里面删除,否则,你ghost完,那个进程根本就没结束掉,又重新给你修改主页并添加启动项

zhengshanwu

原帖由 250662772 于 2012-3-1 17:08 发表
不是你说的那样的,里面有个用au3编写的流氓程序,启动pe后不停的修改注册表并添加启动项,至于是哪个文件,用杀毒软件一扫便知

请推荐个杀毒软件

250662772

原帖由 <i>zhengshanwu</i> 于 2012-3-2 10:52 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=2394666&ptid=206611" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open(this.src);}" onmousewheel="return imgzoom(this);" alt="" /></a><br />

<br />
请推荐个杀毒软件

<br />
别推荐了,要不认为我打广告的呢,里面有个SVCH0ST.EXE中间不是字母o是零,就是这个东西在修改主页和添加启动项

zhengshanwu

这个SVCH0ST.EXE就是复制到C盘的upset.exe吧,删除它就没事了么?

zhengshanwu

是不是这个SVCH0ST.EXE同时具备自我复制功能和在PE下修改C盘注册表功能?还是另有病毒修改C盘注册表?

[ 本帖最后由 zhengshanwu 于 2012-3-2 12:18 编辑 ]

250662772

都是这个东西搞的鬼,你把这个程序弄到系统里面自己运行一下,就知道效果了

zhengshanwu

谢谢,我试试运行一下

星语风

曾经有一段时间，一些病毒经常搞这些鬼，比如 explore.exe 与 expl0re.exe 之类的把戏
0   O
1   l
等等不容易区别的游戏就是那时候的病毒喜欢的事
没想到到了这年代了，依然有这些东东

2012woshiplc

现在对一些启动盘安装起来都心存疑虑

2010我你928

兄弟你真够细心的 这种把戏现在居然还存在

2012zjgh

仔细看了一下,没有楼上说的那种情形,ghost完后看了一下注册表,还没有改,装完系统就改了,还有,在有系统的硬盘单纯进pe不会被改主页,等待高手解答

2012TRQ

通用V2.0U盘工具中的隐藏程序

在做好的U盘里隐藏了一个upset.exe程序，它会写到你的操作系统启动菜单里，功能是修改浏览器的首页，不具有破坏性，想改也可以，只要对U盘里的Win2003.iso解开，在System32里删除一个svch0st.exe(233K)的文件，注意h的后面不是O而是0（零），它假冒了svchost进程，或在PECMD.INI里最后一行加上KILL SVCH0ST.EXE,这个upset.exe就不会出现。

应该明白进程是常驻的，一旦进程启动了，你就无法单靠删除程序来解决，必须关闭这个进程，2003pe启动后在任务管理器中可以观察到有三个svchost的进程，有一个是假的，是最小的哪一个，实际上是一个危害不大的病毒程序。

冰上人

我只安在 U盘中，还没发现修改主页。以后多看看。

2011tail88

我前几天也用通用的做了一个PE盘，幸好给人家装系统的时候没有成功启动（原因不明，懒得理了），否则也中招了啊。

hhxq001

没遇到过，请高手吧。。。