瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

«678910111213»   10  /  23  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

ding
gototop
 

引用:
【linzh9286的贴子】楼主,您好!
关于ProcessExplorerNt.zip软件,好像它针对不同系统有不同版本。我想问一下:
如何确定自己的系统是32位、还是64位呢(我的是XP+SP2)?可以在系统哪里可以看到吗?
...........................


ProcessExplorerNt.zip从字面上看好像是运行在NT系列的操作系统上,其实不然,它
可以运行在不同WIN32操作系统,同时可以运行在64位操作系统。之所以叫ProcessExplorerNt.zip,是因为作者早期的工具运行是分系统的(不同的系统要运行不同的程序,因为各个系统的驱动文件是不同的)。

Procexp多系统运行原理:Procexp将驱动文件和运行在64位的程序打包到自身的资源中,当运行,首先判断操作系统版本,不同的操作系统版本加载不同的驱动文件,若系统是64操作系统则将资源中的64位procexp二进制文件释放出来,并启动它。

E文好的可以去作者的网站http://www.sysinternals.com/Blog/看,哪里有关于这方面的BLOG
gototop
 

哈哈,楼主的方法我早就再用了,杀木马还是手动最管用
gototop
 

顺便说一句,瑞星2006版防火墙可查看自动启动项,功能大致跟Autoruns相当,有兴趣的朋友可去试试
gototop
 

学习了
谢谢搂主
gototop
 

好复杂。。。
gototop
 

引用:
【王健的贴子】顺便说一句,瑞星2006版防火墙可查看自动启动项,功能大致跟Autoruns相当,有兴趣的朋友可去试试
...........................


瑞星2006版防火墙只针对一般的启动项,对服务,Explorer、IExplorer的扩展启动项没有提及
gototop
 

楼主!我的电脑启动后会在记事本里跳出
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
哪里出问题了 ~~~怎么办啊
gototop
 

谢谢楼主,收下了,欢迎多多发表这样的帖子。又学两招。
gototop
 

我晕,大哥,能不能告诉我,你的QQ号呀~~~~我看得头都大了~~
gototop
 
«678910111213»   10  /  23  页   跳转
页面顶部
Powered by Discuz!NT