瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

«56789101112»   9  /  23  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

Autoruns更新到8.31

不知Mark这老先生干嘛,更新这么快,功能没啥变化,估计是修改BUG吧
gototop
 

真不知道说什么好,总是太感谢了,折腾了我一下午的病毒终于给删除了,哈哈^_^,谢谢这位大侠了
gototop
 

灰鸽子用procexp不易找到,建议先用Autoruns删除启动项,重启计算机,再删文件,以下是我的一点心得,希望对大家有所帮助。
gototop
 

本人运行了一个灰鸽子的病毒,病毒一运行,自动把自己删除了,我用procexp在进程中未发现可疑的进程,打开Autoruns工具发现一个g_server2.0.exe的服务启动项

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-11-1 18:53:06
描述:



gototop
 

我用procexp的句柄查看功能查找G_server2.0.exe,发现有C:\windows\G_Server2.0.exe,此时我确认灰鸽子已经运行起来了,马上就网络断掉(木马会窃取资料,大家应该都知道)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-11-1 18:56:47
描述:



gototop
 

我进入C:\windows下找到G_server20.exe,发现它的属性是系统、隐藏、只读的,删除,双击运行,都提示错误

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-11-1 19:00:20
描述:



gototop
 

用瑞星进行内存杀毒提示C:\program files\Internet Explorer\IExplorer.exe,有病毒,原来病毒将自己从系统进程链表中删除了自己并伪造了IExplorer.exe的路径。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-11-1 19:04:46
描述:



gototop
 

因为G_server2.0.exe是通过服务方式启动的,所以我删除了它的启动项

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-11-1 19:07:37
描述:



gototop
 

重新启动,因为删除了启动项,此时病毒没有运行,进到C:\windows目录下找到G_server2.0.exe,将其删除

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-11-1 19:09:22
描述:



gototop
 

楼主,您好!
关于ProcessExplorerNt.zip软件,好像它针对不同系统有不同版本。我想问一下:
如何确定自己的系统是32位、还是64位呢(我的是XP+SP2)?可以在系统哪里可以看到吗?
gototop
 
«56789101112»   9  /  23  页   跳转
页面顶部
Powered by Discuz!NT