XSNOWX - 2007-11-6 14:01:00
明目张胆的添加了Remote Command Service服务,只要一运行程序就自行写入注册表,添加一个隐藏用户。如何删除这个后门呢?
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )
zg1_2004 - 2007-11-6 14:41:00
该用户帖子内容已被屏蔽
琼台听雨 - 2007-11-6 14:45:00
日志,日志……
日不懂啊 - 2007-11-6 14:57:00
下载 System Repair Engineer,
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来,不要修改
XSNOWX - 2007-11-6 19:55:00
好的。
我看到每个进程中都插入了许多未经认证的文件
如:Unicode.nls
locale.nls
sortkey.nls
sorttbls.nls
ctype.nls
perflib_perfdata_560.dat
dump_nvatabus.sys[这个国外网站上说是nvdia的显示驱动,可我虽然用的是nf4主板,但显卡是ati的,而且这东西的路径是system32下,但开机后内存中有,system32底下没有-可以新建一个文件重命名为dump_nvatabus.sys]这个是不是木马?
注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Search Assistant\\ACMru\\5603中和dump_nvatabus.sys 在一起的键值还有sortkey.nls ;sorttbls.nls ; *.msi ;perflib_perfdata_560.dat; 是不是绑定了msi的安装?5603和5604下的键值是不是都是病毒。
dump_wmilib.sys
另外这个版本的SMSS.EXE找不到微软签名
XSNOWX - 2007-11-6 19:56:00
我是菜虫,谢谢大家的指点。
zg1_2004 - 2007-11-9 19:49:00
该用户帖子内容已被屏蔽
XSNOWX - 2007-11-9 21:23:00
哪里能看到钩子?请问如何卸载?
XSNOWX - 2007-11-9 21:24:00
http://forum.ikaka.com/topic.asp?board=28&artid=8391446
上面的连接是我的检测报告。
zxc123mnb - 2007-11-13 8:49:00
该用户帖子内容已被屏蔽
7ujm456 - 2007-11-13 9:08:00
诺顿是不是有个叫360的东西?,是不是一个全能的杀软?
XSNOWX - 2007-11-13 21:37:00
不用诺顿有4年了。
© 2000 - 2026 Rising Corp. Ltd.