瑞星卡卡安全论坛

在这里我们假设：
***.dll就是插入系统进程的DLL木马
***.exe就是被插入***.dll的系统进程

解决方法：
（1）用System Repair Engineer 查看插入到***.exe进程中的***.dll
System Repair Engineer 下载：
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

（2）用Icesword替换 ***.exe
打开Icesword，在主界面左边选择“文件”菜单
找到并选中***.exe按右键
选择“复制”命令
然后要求输入目标文件路径
浏览选择正在使用中的受感染的***.exe
确定
Icesword下载：
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

（3）重新启动计算机
删除***.dll

其实插入系统进程的DLL木马，也得有启动项，大都写在注册表中，只要不是使用了驱动保护注册表项，大都可以通过一下方式解决：
1）找到注册启动项
2）删除注册表启动项
3）重启
4）删除木马文件

重要的是删除了注册表启动项，需要重启，因为这时直接删除文件是删除不了的

引用:

【BlackStone的贴子】其实插入系统进程的DLL木马，也得有启动项，大都写在注册表中，只要不是使用了驱动保护注册表项，大都可以通过一下方式解决： 1）找到注册启动项 2）删除注册表启动项 3）重启 4）删除木马文件 重要的是删除了注册表启动项，需要重启，因为这时直接删除文件是删除不了的 ...........................

因为这类木马是没有自启动项的

【不言放弃的贴子】

怎么样能发现系统里被插进了这样的***.dll，***.exe。

谢谢！！

引用:

【2116bromgamed2m的贴子】【不言放弃的贴子】 怎么样能发现系统里被插进了这样的***.dll，***.exe。 谢谢！！ ...........................

第一步就是

引用:

【不言放弃的贴子】 因为这类木马是没有自启动项的 ...........................

不可能，除非它替换了系统的动态库或感染了系统的EXE文件。
你可以仔细看看Autorun里的所有启动项。

【回复“BlackStone”的帖子】
http://forum.ikaka.com/topic.asp?board=28&artid=7640943
在Autoruns日志中
你看到C:\WINDOWS\TEMP\vmmqk5c.dll的自启动项了吗
不要把Autoruns看得多么了不起
整个Autoruns日志中竟然没有C:\WINDOWS\TEMP\vmmqk5c.dll的影子
晕倒

引用:

【不言放弃的贴子】【回复“BlackStone”的帖子】 http://forum.ikaka.com/topic.asp?board=28&artid=7640943 在Autoruns日志中 你看到C:\WINDOWS\TEMP\vmmqk5c.dll的自启动项了吗 不要把Autoruns看得多么了不起 整个Autoruns日志中竟然没有C:\WINDOWS\TEMP\vmmqk5c.dll的影子 晕倒 ...........................

你没有理解我的本意，一个DLL如果要注入到系统进程中，它得需要注入者

至于你说的C:\WINDOWS\TEMP\vmmqk5c.dll没有启动项是因为c:\windows\svchost.exe是它的注入者，它负责把C:\WINDOWS\TEMP\vmmqk5c.dll注入系统，你只要把c:\windows\svchost.exe的启动项删除，当然C:\WINDOWS\TEMP\vmmqk5c.dll也就不会注入系统了。

看高手切磋.收藏贴

学习中......

引用:

【BlackStone的贴子】 你没有理解我的本意，一个DLL如果要注入到系统进程中，它得需要注入者 至于你说的C:\WINDOWS\TEMP\vmmqk5c.dll没有启动项是因为c:\windows\svchost.exe是它的注入者，它负责把C:\WINDOWS\TEMP\vmmqk5c.dll注入系统，你只要把c:\windows\svchost.exe的启动项删除，当然C:\WINDOWS\TEMP\vmmqk5c.dll也就不会注入系统了。 ...........................

c:\windows\svchost.exe的启动项？
不懂