深山红叶启动光盘（WinPE＆PE Builder）讨论专帖[另开主题一律删除]

ly001

原帖由 ly001 于 2006-8-12 09:37 PM 发表
这个路径应该错了（说明：用SCK的DEFAULT替换过）

没人相信“病毒扫描”－“病毒清除”项下“syscheck 反黑工具箱(可检测内核级后门）“这个问题，为什么。。。。。。。

sgwenqing

autorun.exe为什么一运行EWIDO就报警？

名称：Trojan.Agent.pe
位置：I：\AUTORUN.EXE
风险：高
描述：这种恶意软件伪装成有用的承袭或文件以获取用户的信任，一旦被打开，它会执行恶意电脑代码。

pz

原帖由 sgwenqing 于 2006-8-13 12:16 PM 发表
autorun.exe为什么一运行EWIDO就报警？

名称：Trojan.Agent.pe
位置：I：\AUTORUN.EXE
风险：高
描述：这种恶意软件伪装成有用的承袭或文件以获取用户的信任，一旦被打开，它会执行恶意电脑代码。

红叶盘上到处都是病毒和木马，建议你不要用了。
这个光盘是给我们这些不怕的人用的。

sgwenqing

楼上是什么意思？我只是想确定我下的版本是不是原版。当然红叶老大的原版我是相信的！可以问一下你下的ISO文件有多大吗？

pz

原帖由 sgwenqing 于 2006-8-13 12:58 PM 发表
楼上是什么意思？我只是想确定我下的版本是不是原版。当然红叶老大的原版我是相信的！可以问一下你下的ISO文件有多大吗？

楼上的不要介意，开个玩笑。
EWIDO这个软件经常有点过敏，所报的不一定确实。
红叶老大的正式版的MD5码为：12f4dfda148a7ebfa7c863d88022c245 *CoolMiniPEV26200608.iso

pz

sck兄弟所发补丁合并打包，其中文件路径已经设好，直接在ISO文件的根目录上覆盖即可。
1

[ 本帖最后由 pz 于 2006-8-13 01:17 PM 编辑 ]

pz

2………………

pz

最后。

kyqm

hzqp

今天 裸机 了一会儿，到D盘下一看，怎么多了两个SXS.exe ，autorun.inf，

autorun.inf文件内容：
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe

再一查，每个盘的根目录下都有这样两个。最怕的情况现在到来了，如果病毒、木马、流氓不限于C盘，那可有事了，在网上查了下，有删除的说明，但没有对病毒进行更多的分析。可怕！可怕！太可怕了！！！
遇到过的高手请说一下，谢谢！

附：网上的一个贴子：
关于sxs.exe病毒
　　刚刚手动把sxs.exe病毒杀掉。把如何杀毒总结一下。

　　最迅速、彻底的杀毒方法：
1、断开网络连接
2、打开“任务管理器”，应该有个SVOHOST.EXE进程，把它结束掉。到C:\WINDOWS\system32里找到SOVHOST.EXE把它删除。
3、执行“开始”－“运行”－输入“regedit”打开注册表
4、找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue，检查它的类型是否为REG_DWORD，如果不是则删掉CheckedValue，然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1。（不做这一步，第6、7步将无法查看到隐藏的系统文件）
5、打开各硬盘（“我的电脑”里右键“打开”或“资源管理器”右侧选择），
6、“文件夹选项”－“查看”－选择“显示所有文件和文件夹”，并把“隐藏受保护的系统文件”复选框去除选择。
7、可以看到各个硬盘根目录下都有autorun.inf和sxs.exe文件，把它们都删掉。如果U盘上也有，也删掉。U盘上的可能删了又会出现，那就再检查一下“任务管理器”里有没有SOVHOST.EXE进程，把它结束掉（见2）。
8、这样就该差不多了。
9、如果安装的是瑞星，防火墙和杀毒软件应该可以打开了，其他杀毒软件应该也可以打开了。
10、如果瑞星计算机监控无法打开，或者打开后是收着的小红伞，并且所有的监控开启都失败，那么到“控制面板”－“管理工具”－“服务”，找到“Rising
Process Communication Center”，应该是被禁用了，右键“属性”，启动类型一项改为“自动”，然后启用该服务。
11、至此，计算机恢复正常。

附：杀毒过程中参考到的资料
1、http://hi.baidu.com/xinbar
2、http://zhidao.baidu.com/question/10367970.html
3、http://www.qc333.com/Article/qczs/ljgz/200605/8243.html

hzqp

原帖由 推士机 于 2006-8-9 08:54 PM 发表
能不能把补丁共享一个？
谢谢！
我进不去霏凡。
附件: 解除影子时间限制补丁.rar

推士机：
        你好，我用了你的时间解除，不行，运行‘时间解除“后重启，就蓝屏，提示0*0000007B，死机。
因为我下载的是繁体版的影子系统，而霏凡的是E文版，能不能把你的霏凡 “影子系统全套” 发给我一下？
谢谢！我收到了，的确和我原来在51CT下载的不一样。马上试用。

测试结果：失败！！！
安装后不运行“解除时间限制”，影子系统能正常运行，但一运行“解除时间限制”，启动时就蓝屏，且此后怎么都不能再进入XP，只好GHOST系统。应该是“解除时间限制”有问题，但你的又没有问题，真搞不懂，正在联系“解除时间限制”作者“飞天”。我在网上查了一下，也有这种情况，也许和你说的一样，是GHOSTXP系统有问题吧。
    还有什么原因呢？请问你的电脑装没装“ Alcohol 120%”或其他的虚拟光驱，会不会是硬件冲突？
    再就是我原来装过繁体版的，但已卸载了呀，且再装英文或者繁体版仍然都能正常运行。应该不会有冲突吧？说不清。
     算了，还是用不“解除时间限制”的罗，没办法。原来在一台SATA硬盘的电脑上装失败后，我还以为是SATA硬盘设置有问题，看来不是。
    再就是“时间限制”到底是什么时间限制，是“启动菜单 ”3-30秒 的限制，还是使用30天的限制？我很怀疑是解除“启动菜单”3--30秒的限制，我选在“4秒”的情况下设置好“影子系统”再编辑BOOT.ini文件，启动菜单是“ 1秒”。
    且每次启动都有这样一个提示框，一定要按“确定”，不知你的有没有？谢谢！

    看到了，有机会再装机测试。谢谢！
   在网上找了一下，有一篇测试手记，很细。他说可以关闭C:\windows\system32\shadow\ShadowService.exe服务，这样D盘下的文本隐藏文件ShadowService.log 就不记载了。
http://kewpie.bopin.net/archives/2006/12671.html

[ 本帖最后由 hzqp 于 2006-8-14 04:52 PM 编辑 ]

推士机

原帖由 hzqp 于 2006-8-13 06:30 PM 发表


推士机：
        你好，我用了你的时间解除，不行，运行‘时间解除“后重启，就蓝屏，提示0*0000007B，死机。
因为我下载的是繁体版的影子系统，而霏凡的是E文版，能不能把你的霏凡 “影子系统全套” 发给 ...

偶的一个同事在安装时也出现了类似问题，后来重装又一切OK了，可能与他用的ghost版XP有关吧。
　　影子系统（偶现在用的就是这个）已发至你邮箱，请查收。
        偶系统中也安装了Alcohol 120%。。。此破解是解除30天时间限制。。。启动后应点击对话框中的“确定”

[ 本帖最后由 推士机 于 2006-8-14 09:16 AM 编辑 ]

listee

因为不是所有人都愿意改HOSTS，有时误操作后还得手工去改，希望红叶兄能发个修正后的autorun.exe。
谢谢！

kashitsuu

用了V26的HOSTS文件替换原来的发现“支付宝”页面没有图像，只有文字，还原原来系统本来的就一切正常。怎么解决？

clwx

发现一个小程序，检查系统启动加载的项目。名字是autoruns，英文版。看看各位有没有兴趣。

listee

原帖由 clwx 于 2006-8-14 10:02 PM 发表
发现一个小程序，检查系统启动加载的项目。名字是autoruns，英文版。看看各位有没有兴趣。

早已收录在光盘里了

tmlu110

请高手指点，用什么软件编辑红叶兄的autorun.exe文件？

没有人说话呀！

tzbaoli

原帖由 tmlu110 于 2006-8-15 05:54 PM 发表
请高手指点，用什么软件编辑红叶兄的autorun.exe文件？

没有人说话呀！

可能是AutoPlay Menu Builder吧　做atuorun.exe的工具很多的　都能满足你需要不必一定追求和红叶大侠的一样只要自己用着习惯就行了。

rayverve

原帖由 kashitsuu 于 2006-8-14 09:15 PM 发表
用了V26的HOSTS文件替换原来的发现“支付宝”页面没有图像，只有文字，还原原来系统本来的就一切正常。怎么解决？

去hotst文件里删掉支付保的地址保存就ok了。

liuy

用V26里的R-Studio 3.0版试了一下，扫描结果比V22中的R-Studio  2.0少了很多？3.0只是界面好些，汉化比2.0完全。
R-Studio对删除后的文件恢复很快，但是对格式化后磁盘不如其他软件扫描准确！
试了一下先删除，然后用R-Studio扫描，速度极快且很准确；然后在格式化，居然R-Studio扫描不出来了？！
其他软件都可以，如Easy Recovery Pro、Recover My Files 。

[ 本帖最后由 liuy 于 2006-8-16 10:33 AM 编辑 ]

evilsaga

本人用V26里的流氓软件屏蔽程序后程序目录还有WINDOWS SYSTEM32等文件夹里发现大量的流氓软件的空文件夹 而且是隐藏的  何解？？？？:o

namejm

　　这个是正常的，那些文件夹的属性应该是只读的吧？正是通过这样的方式，使得流氓软件无法正常安装。

evilsaga

原帖由 namejm 于 2006-8-16 06:47 PM 发表
　　这个是正常的，那些文件夹的属性应该是只读的吧？正是通过这样的方式，使得流氓软件无法正常安装。

谢谢哦  

还有一个问题就是我系统封装后一进入WINDOWS它就会自动打开SYSTEM32文件夹下的rundll32.com这个文件夹  请问有何方法可以解决？？

tyuka

V26及V25在IBM X60笔记本上启动都出现0X000007B的蓝屏错误。

用另外某个启动PE盘可以启动，但是找不到硬盘

不知道是不是不支持SATA硬盘的缘故？

鑫森淼焱垚

原帖由 tyuka 于 2006-8-17 04:32 PM 发表
V26及V25在IBM X60笔记本上启动都出现0X000007B的蓝屏错误。

用另外某个启动PE盘可以启动，但是找不到硬盘

不知道是不是不支持SATA硬盘的缘故？

偶嘀两块硬盘都是SATA，支持很好呀。

freesoft00

v26的问题与反馈：
pe下
cpuz这个软件没法运行
ami bios刷写程序运行没反应。（v24,v26都是，我的主板时ami的）。
在“安全检测“目录中有一个rpcdocmp.exe,好像是这个文件名来，不知是干什么用的，autorun.exe菜单也没调用它的选项。
在“磁盘工具“目录中有一个phydesk    .exe  空格的地方忘了是什么了。也不知道是干什么用的，文件很小，同样在autorun.exe菜单也没调用它的选项。

raid_fix.exe和Icesword是否用压缩软件压缩过，mcafee报有问题，但不是毒。

freesoft00

在“安全检测“目录中的是rpcdump.exe

在“磁盘工具“目录中的是physdiskwrite.exe

pe下抓图工具spx.exe无法运行

另外，流氓病毒报仇器是干什么用的呀。

sck

cpuz这个软件没法运行（这是因为你是在虚拟机上测试！！！不准确）
ami bios刷写程序运行没反应。（v24,v26都是，我的主板时ami的）。（因为你电脑主板上的不是AMI类的BIOS 芯片！！！）

tyuka

原帖由 鑫森淼焱垚 于 2006-8-17 05:15 PM 发表


偶嘀两块硬盘都是SATA，支持很好呀。

那不知道会是什么原因呢？
昨天试着把红叶放到我的隐藏分区内，启动的时候同样出现该错误

listee

在X60上启动的确有问题，在T60上则可以启动看不到硬盘上的数据，但可以使用GHOST。