关于病毒模块插入系统、应用程序进程的问题

之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:	发表于： 2007-04-03 13:30 \| 短消息资料字号：小中大 11楼猫叔，请教几个问题正在运行的进程 [PID: 668][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\E5CEBDF.DLL] [Microsoft Corporation, ] 这段日志提示：系统核心进程C:\WINDOWS\system32\csrss.exe被病毒模块插入了。插入此进程的病毒模块是C:\WINDOWS\system32\E5CEBDF.DLL。这怎么看出来的？是那个问号吗？另外你解决措施的（1）、（2）有什么区别？（1）就直接强制删除那个病毒进程文件，（2）先删除系统核心进程中的病毒模块，再删除病毒文件，是这样吗？谢谢猫叔了
之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:

时光浅浅初生襁褓狮帖子:35 注册: 2007-04-01 来自:	发表于： 2007-04-03 13:33 \| 短消息资料字号：小中大 12楼 3Q，猫叔，受益菲浅~~~
时光浅浅初生襁褓狮帖子:35 注册: 2007-04-01 来自:

菜菜瓜瓜叱咤花甲狮帖子:3504 注册: 2007-01-08 来自:	发表于： 2007-04-03 13:36 \| 短消息资料字号：小中大 13楼怎么从 [PID: 668][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\E5CEBDF.DLL] [Microsoft Corporation, ] 这个判断E5CEBDF.DLL 是病毒模块？还有后面的几个能否也用几个列子加以说明下
菜菜瓜瓜叱咤花甲狮帖子:3504 注册: 2007-01-08 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-04-03 13:59 | 只看楼主 短消息资料

字号：小中大 14楼

引用:

【之乎者也的贴子】猫叔，请教几个问题

正在运行的进程
[PID: 668][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\E5CEBDF.DLL] [Microsoft Corporation, ]

这段日志提示：系统核心进程C:\WINDOWS\system32\csrss.exe被病毒模块插入了。插入此进程的病毒模块是C:\WINDOWS\system32\E5CEBDF.DLL。

这怎么看出来的？是那个问号吗？
另外你解决措施的（1）、（2）有什么区别？（1）就直接强制删除那个病毒进程文件，（2）先删除系统核心进程中的病毒模块，再删除病毒文件，是这样吗？谢谢猫叔了

………………

1、辨认系统进程中病毒模块问题：凭经验。正常系统中C:\WINDOWS\system32\文件夹中没有E5CEBDF.DLL这个文件（这个回答可能让你失望）。
2、用IceSword强制卸除系统进程中的病毒模块，实质是“结束病毒模块的运行状态”（一般来说，正在运行的文件是无法删除的）。
3、不结束病毒模块的运行状态而强制删除病毒模块文件的例子较少（这样做，要辅以特殊措施），据我的经验，也只有IceSword可以实现这种操作（尽管成功率不是100％）。那个Keygen.exe木马的处理就是个例子。强制删除病毒文件后，待硬盘无读写动作时，立即断开系统电源，即可奏效。这算个特例吧。
尽管是特例，但也是实践证明成功的例子，必要时可以考虑这样的方法。总之，手工杀毒讲究的是“灵活”，不必拘泥于什么“成规”。有时，就是要打破成规。

另壶冲拙长孩提狮帖子:152 注册: 2005-09-30 来自:	发表于： 2007-04-03 14:01 \| 短消息资料字号：小中大 15楼 baohe之作必为经典。。
另壶冲拙长孩提狮帖子:152 注册: 2005-09-30 来自:

lses 初生襁褓狮帖子:9 注册: 2007-04-03 来自:	发表于： 2007-04-03 14:05 \| 短消息资料字号：小中大 16楼 Trojan.Spy.IeBho.e========Content======== Trojan.Spy.IeBho.e瑞星老忽略一打开网页就又出现了很是头疼,我不太懂的
lses 初生襁褓狮帖子:9 注册: 2007-04-03 来自:

日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京	发表于： 2007-04-03 14:10 \| 短消息资料字号：小中大 17楼学习，虽然不是很懂，哈哈
日不懂啊叱咤花甲狮帖子:14337 注册: 2007-03-08 来自:江苏南京

wulm 初生襁褓狮帖子:31 注册: 2006-12-18 来自:	发表于： 2007-04-03 14:44 \| 短消息资料字号：小中大 18楼此文差矣。病毒作者拼命想在服务和驱动站立一席之地，保护文件不被干掉,baohe却在指导病毒插入系统进程这种比较落后的东东，有误导之嫌。
wulm 初生襁褓狮帖子:31 注册: 2006-12-18 来自:

初生襁褓狮

帖子:426
注册: 2005-07-25
来自:

发表于： 2007-04-03 14:56 | 短消息资料

字号：小中大 19楼

1、辨认系统进程中病毒模块问题：凭经验。正常系统中C:\WINDOWS\system32\文件夹中没有E5CEBDF.DLL这个文件（这个回答可能让你失望）。
2、用IceSword强制卸除系统进程中的病毒模块，实质是“结束病毒模块的运行状态”（一般来说，正在运行的文件是无法删除的）。
3、不结束病毒模块的运行状态而强制删除病毒模块文件的例子较少（这样做，要辅以特殊措施），据我的经验，也只有IceSword可以实现这种操作（尽管成功率不是100％）。那个Keygen.exe木马的处理就是个例子。强制删除病毒文件后，待硬盘无读写动作时，立即断开系统电源，即可奏效。这算个特例吧。
尽管是特例，但也是实践证明成功的例子，必要时可以考虑这样的方法。总之，手工杀毒讲究的是“灵活”，不必拘泥于什么“成规”。有时，就是要打破成规。
………………

谢谢猫叔指点。不拘一格“降”病毒，说的好

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于病毒模块插入系统、应用程序进程的问题

关于病毒模块插入系统、应用程序进程的问题

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于病毒模块插入系统、应用程序进程的问题