【原创】如何用Procexp和Autoruns工具识别与删除木马程序 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】如何用Procexp和Autoruns工具识别与删除木马程序

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«5 6 7 8910 11 12 »

9 / 23 页

跳转页

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-10-28 10:20 \| 只看楼主短消息资料字号：小中大 81楼 Autoruns更新到8.31 不知Mark这老先生干嘛，更新这么快，功能没啥变化，估计是修改BUG吧
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

80888qq 健康舞勺狮帖子:227 注册: 2005-11-01 来自:	发表于： 2005-11-01 17:40 \| 短消息资料字号：小中大 82楼真不知道说什么好,总是太感谢了,折腾了我一下午的病毒终于给删除了,哈哈^_^,谢谢这位大侠了
80888qq 健康舞勺狮帖子:227 注册: 2005-11-01 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-11-01 18:49 \| 只看楼主短消息资料字号：小中大 83楼灰鸽子用procexp不易找到，建议先用Autoruns删除启动项，重启计算机，再删文件，以下是我的一点心得，希望对大家有所帮助。
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-11-01 18:53 \| 只看楼主短消息资料字号：小中大 84楼本人运行了一个灰鸽子的病毒，病毒一运行，自动把自己删除了，我用procexp在进程中未发现可疑的进程，打开Autoruns工具发现一个g_server2.0.exe的服务启动项附件: 文件名:5887812005111185306.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-1 18:53:06 描述:
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-11-01 18:56 \| 只看楼主短消息资料字号：小中大 85楼我用procexp的句柄查看功能查找G_server2.0.exe,发现有C:\windows\G_Server2.0.exe，此时我确认灰鸽子已经运行起来了，马上就网络断掉（木马会窃取资料，大家应该都知道）附件: 文件名:5887812005111185647.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-1 18:56:47 描述:
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-11-01 19:00 \| 只看楼主短消息资料字号：小中大 86楼我进入C:\windows下找到G_server20.exe，发现它的属性是系统、隐藏、只读的，删除，双击运行，都提示错误附件: 文件名:5887812005111190020.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-1 19:00:20 描述:
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-11-01 19:04 \| 只看楼主短消息资料字号：小中大 87楼用瑞星进行内存杀毒提示C:\program files\Internet Explorer\IExplorer.exe，有病毒，原来病毒将自己从系统进程链表中删除了自己并伪造了IExplorer.exe的路径。附件: 文件名:5887812005111190445.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-1 19:04:46 描述:
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-11-01 19:07 \| 只看楼主短消息资料字号：小中大 88楼因为G_server2.0.exe是通过服务方式启动的，所以我删除了它的启动项附件: 文件名:5887812005111190737.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-1 19:07:37 描述:
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-11-01 19:09 \| 只看楼主短消息资料字号：小中大 89楼重新启动，因为删除了启动项，此时病毒没有运行，进到C:\windows目录下找到G_server2.0.exe，将其删除附件: 文件名:5887812005111190922.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-1 19:09:22 描述:
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

linzh9286 初生襁褓狮帖子:21 注册: 2004-05-22 来自:	发表于： 2005-11-01 22:08 \| 短消息资料字号：小中大 90楼楼主，您好！关于ProcessExplorerNt.zip软件，好像它针对不同系统有不同版本。我想问一下：如何确定自己的系统是32位、还是64位呢（我的是XP+SP2）？可以在系统哪里可以看到吗？
linzh9286 初生襁褓狮帖子:21 注册: 2004-05-22 来自:

<<上一主题|下一主题>>

«5 6 7 8910 11 12 »

9 / 23 页

跳转页

页面顶部

Powered by Discuz!NT