nimda - 2007-11-13 13:46:00
我用最新版的冰刃查看我的服务器的进程老发现有ie进程(这时我并没有打开ie浏览器),重启系统后立刻用冰刃查看进程发现依然有ie进程(每次重启都有),但用冰刃查看并没有出现,象一些教程说的如果是“隐藏的进程”会出现红色的标记,但我肯定我的服务器中了木马(还有其他一些事例可以做为佐证),请问,这种情况下我怎么能够通过冰刃找到这个有可能注入ie进程马的藏身处和其有关的服务呢?
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
nimda - 2007-11-13 17:26:00
我在“监视进线程创建”处发现有红色标志的,这是否说明该线程是病毒呢?那是个“调用方进程映像名叫csrss.exe,目标进程映像名叫explorer.exe”的,还有此处还有蓝色和绿色标志那又代表的是什么意思呢?
CAPTjoe - 2007-11-13 18:24:00
建议:1.如果不熟悉的话,请慎用冰刀。
2.关于插入IE的检查,可以右击IE后看‘进程信息’或‘模块信息’,看看是否有可疑的dll文件。
nimda - 2007-11-14 15:21:00
| 引用: |
【CAPTjoe的贴子】建议:1.如果不熟悉的话,请慎用冰刀。
2.关于插入IE的检查,可以右击IE后看‘进程信息’或‘模块信息’,看看是否有可疑的dll文件。
……………… |
下面图片是这个ie进程的‘模块信息’和‘线程信息’大家给看一看!
附件:
97677120071114150959.jpg
nimda - 2007-11-14 15:22:00
| 引用: |
【nimda的贴子】
下面图片是这个ie进程的‘模块信息’和‘线程信息’大家给看一看!
……………… |
附件:
97677120071114151058.jpg
nimda - 2007-11-14 15:22:00
nimda - 2007-11-14 15:23:00
nimda - 2007-11-14 15:30:00
nimda - 2007-11-14 15:32:00
以下是“监视进线程创建”处发现有红色标志的图片,这是否说明该线程是病毒呢?
附件:
97677120071114152122.jpg
nimda - 2007-11-14 15:33:00
| 引用: |
【nimda的贴子】
以下是“监视进线程创建”处发现有红色标志的图片,这是否说明该线程是病毒呢?
……………… |
附件:
97677120071114152204.jpg
nimda - 2007-11-14 15:33:00
nimda - 2007-11-14 15:34:00
nimda - 2007-11-14 15:35:00
nimda - 2007-11-14 15:35:00
© 2000 - 2026 Rising Corp. Ltd.