【原创】如何用Procexp和Autoruns工具识别与删除木马程序

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】如何用Procexp和Autoruns工具识别与删除木马程序

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«14 15 16 171819 20 21 »

18 / 23 页

跳转页

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

不再想用win 初生襁褓狮帖子:9 注册: 2005-12-28 来自:	发表于： 2005-12-28 13:52 \| 短消息资料字号：小中大 171楼楼主，请教，我的机器出现您在71楼说得问题，根据您的指导已经恢复，但不明白什么原因导致那2项不让更改的，我经常更改那2项的，近期突然发现被禁止了，我的第二套系统启动后还可以更改，但在1小时后也被禁止了，您能给解惑吗？谢谢了！
不再想用win 初生襁褓狮帖子:9 注册: 2005-12-28 来自:

梦幻的心快乐黄口狮帖子:172 注册: 2004-04-22 来自:	发表于： 2005-12-28 15:31 \| 短消息资料字号：小中大 172楼 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + NvCplDaemonNVIDIA Display Properties ExtensionNVIDIA Corporationc:\windows\system32\nvcpl.dll + RavMonFile not found: E:\SECURITY\RAV2005\RAVMON.EXE + RavTaskRavTimerBeijing Rising Technology Co., Ltd.e:\security\rising\rav\ravtask.exe C:\Documents and Settings\Amazing holy\「开始」菜单\程序\启动 + HoeKey.lnke:\system\hoekey\hoekey.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run + SystemSafetyMonitorMaster ModuleSystem Safetye:\security\system safety monitor 2.0\syssafe.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks + Rising Execute File Exts hookRising Shell Ext ModuleBeijing Rising Technology Co., Ltd.c:\windows\system32\ravext.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved + RISINGRising Shell Ext ModuleBeijing Rising Technology Co., Ltd.c:\windows\system32\ravext.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects + ThunderIEHelper Classxunleibho Modulec:\windows\system32\xunleibho_v4.dll HKLM\Software\Microsoft\Internet Explorer\Extensions + 腾讯QQQQTENCENTe:\net\qq 2005珊瑚虫\qq.exe Task Scheduler + DDD_Install_Program.jobremotesetupduduc:\documents and settings\amazing holy\local settings\temp\remotesetup.exe HKLM\System\CurrentControlSet\Services + NVSvcProvides system and desktop level support to the NVIDIA display driverNVIDIA Corporationc:\windows\system32\nvsvc32.exe + RfwServiceRising Personal Firewall ServiceBeijing Rising Technology Co., Ltd.e:\security\rising\rfw\rfwsrv.exe + RsCCenterCCenterBeijing Rising Technology Co., Ltd.e:\security\rising\rav\ccenter.exe + RsRavMonRavMondBeijing Rising Technology Co., Ltd.e:\security\rising\rav\ravmond.exe HKLM\System\CurrentControlSet\Services + BaseTDIbasetdiBeijing Rising Technology Co., Ltd.c:\windows\system32\drivers\basetdi.sys + BRPPPOEc:\windows\system32\drivers\brpppoe.sys + cwcspudBlackGold II 5.1 Family PCI WDM Audio DriverTOGO Technology Co.,Ltd.c:\windows\system32\drivers\cwcspud.sys + cwcwdmBlackGold II 5.1 Family PCI WDM Audio DriverTOGO Technology Co.,Ltd.c:\windows\system32\drivers\cwcwdm.sys + dtscsic:\windows\system32\drivers\dtscsi.sys + ExpScanerExpScan.syse:\security\rising\rav\expscan.sys + HookContTDI HOOK DriverRising tech Co. ltde:\security\rising\rav\hookcont.sys + HookRege:\security\rising\rav\hookreg.sys + HookSysHooksysRisinge:\security\rising\rav\hooksys.sys + kmsinputc:\windows\system32\drivers\kmsinput.sys + MEMSCANMemScan Driver瑞星软件有限公司e:\security\rising\rav\memscan.sys + mProcRsRising Personal FireWall mprocrs.sysBeijing Rising Technology Co., Ltd.e:\security\rising\rfw\mprocrs.sys + nvNVIDIA Compatible Windows 2000 Miniport Driver, Version 77.76 NVIDIA Corporationc:\windows\system32\drivers\nv4_mini.sys + pfcPadus(R) ASPI ShellPadus, Inc.c:\windows\system32\drivers\pfc.sys + PtilinkDirect Parallel Link DriverParallel Technologies, Inc.c:\windows\system32\drivers\ptilink.sys + RsFwDrvnt_fwdrvBeijing Rising Technology Co., Ltd.e:\security\rising\rfw\rsfwdrv.sys + rtl8139Realtek RTL8139 NDIS 5.0 DriverRealtek Semiconductor Corporationc:\windows\system32\drivers\rtl8139.sys + safemonSystem Safety Monitor 2.0 extension for Windows security layerSystem Safetyc:\windows\system32\drivers\safemon.sys + SecdrvSafeDisc driverc:\windows\system32\drivers\secdrv.sys + sfdrv01StarForce Protection Environment DriverProtection Technologyc:\windows\system32\drivers\sfdrv01.sys + sfhlp02StarForce Protection Helper DriverProtection Technologyc:\windows\system32\drivers\sfhlp02.sys + sfsync02StarForce Protection Synchronization DriverProtection Technologyc:\windows\system32\drivers\sfsync02.sys + sfvfs02StarForce Protection VFS DriverProtection Technologyc:\windows\system32\drivers\sfvfs02.sys + sptdc:\windows\system32\drivers\sptd.sys + UnlockerDriver4e:\system\unlocker\unlockerdriver4.sys + ZSMC301bVideo streaming and Capture Device DriverVMc:\windows\system32\drivers\usbvm31b.sys HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options + taskmgr.exeSysinternals Process ExplorerSysinternalse:\security\processexplorer\procexp.exe
梦幻的心快乐黄口狮帖子:172 注册: 2004-04-22 来自:

梦幻的心快乐黄口狮帖子:172 注册: 2004-04-22 来自:	发表于： 2005-12-28 15:36 \| 短消息资料字号：小中大 173楼 + RavMonFile not found: E:\SECURITY\RAV2005\RAVMON.EXE 我删除以后刷新又出来了，就进入注册表删除，结果弹出对话框，告诉我“无法删除所有指定的值”，以前瑞星是安装在这个路径的，后来卸载以后安装到别的地方了，可是这个启动项就是去不掉，请问这个怎么办啊？附件: 文件名:29072920051228153627.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-12-28 15:36:27 描述:
梦幻的心快乐黄口狮帖子:172 注册: 2004-04-22 来自:

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2005-12-28 17:57 | 只看楼主 短消息资料

字号：小中大 174楼

【回复“不再想用win”的帖子】

引用:

【不再想用win的贴子】楼主，请教，我的机器出现您在71楼说得问题，根据您的指导已经恢复，但不明白什么原因导致那2项不让更改的，我经常更改那2项的，近期突然发现被禁止了，我的第二套系统启动后还可以更改，但在1小时后也被禁止了，您能给解惑吗？谢谢了！
...........................

你的系统内存中可能有木马或其他恶意程序修改了这个注册表项。

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2005-12-28 18:01 | 只看楼主 短消息资料

字号：小中大 175楼

【回复“梦幻的心”的帖子】

引用:

【梦幻的心的贴子】+ RavMonFile not found: E:\SECURITY\RAV2005\RAVMON.EXE

我删除以后刷新又出来了，就进入注册表删除，结果弹出对话框，告诉我“无法删除所有指定的值”，以前瑞星是安装在这个路径的，后来卸载以后安装到别的地方了，可是这个启动项就是去不掉，请问这个怎么办啊？
...........................

看日志你装了瑞星2006，有可能你在瑞星里把regedit修改注册表Run项禁止了，你可以在监控托盘图标中右键菜单中选择“注册表监控自动处理列表项”中去掉对regedit的禁止修改限制或直接关闭瑞星注册表监控再删除试试。

梦幻的心快乐黄口狮帖子:172 注册: 2004-04-22 来自:	发表于： 2005-12-28 18:37 \| 短消息资料字号：小中大 176楼 “注册表监控自动处理列表项”中没有禁止修改注册表Run项，于是关闭瑞星监控，删除了。这是不是瑞星对自己的保护？因为Run其他程序的键值是可以删除的
梦幻的心快乐黄口狮帖子:172 注册: 2004-04-22 来自:

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2005-12-28 18:40 | 只看楼主 短消息资料

字号：小中大 177楼

引用:

【梦幻的心的贴子】“注册表监控自动处理列表项”中没有禁止修改注册表Run项，于是关闭瑞星监控，删除了。
这是不是瑞星对自己的保护？因为Run其他程序的键值是可以删除的
...........................

那个自动处理列表里不应该有regeidt.exe项就对了

各位大侠救我！初生襁褓狮帖子:3 注册: 2005-12-28 来自:	发表于： 2005-12-28 18:41 \| 短消息资料字号：小中大 178楼大侠呀~救救我这个菜鸟吧！我老中毒，有瑞星也会老中毒怎么回事呀？我现在还发现我的瑞星监控的开启不了内存条监控！是不是中毒了呀？怎么办，大侠教我一招好不好？QQ191799898
各位大侠救我！初生襁褓狮帖子:3 注册: 2005-12-28 来自:

各位大侠救我！初生襁褓狮帖子:3 注册: 2005-12-28 来自:	发表于： 2005-12-28 18:44 \| 短消息资料字号：小中大 179楼大侠一定要救我呀，我好怕毒的呀，....QQ191799898谢谢啦！！
各位大侠救我！初生襁褓狮帖子:3 注册: 2005-12-28 来自:

yfd78 初生襁褓狮帖子:1 注册: 2005-12-29 来自:	发表于： 2005-12-29 16:11 \| 短消息资料字号：小中大 180楼不是太懂啊,,有没有中文版的啊,,谢谢
yfd78 初生襁褓狮帖子:1 注册: 2005-12-29 来自:

<<上一主题|下一主题>>

«14 15 16 171819 20 21 »

18 / 23 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

附件:

文件名:29072920051228153627.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(0); 上传时间:2005-12-28 15:36:27 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】如何用Procexp和Autoruns工具识别与删除木马程序

文件名:29072920051228153627.JPG

下载次数:0

文件类型:image/pjpeg

文件大小:

上传时间:2005-12-28 15:36:27

描述: