木马后门攻击:Gh0st RAT远程监控,conime.exe是否是木马全部?
如题,前几天曾经无意间下载了几个EXE文件,而且一下载完exe文件就没有了,在迅雷下载任务列表中也不见了,大概是两三个。看到了这种情况,就格式化c盘恢复了系统。但是今天开机刚刚联网防火墙就报四个gh0st rat木马后门攻击,远程地址是苏州移动和三个北京电信IDC机房,当时就马上关机了。可能是因为下载文件存放在d盘的,格式化c盘d盘还有木马,也可能e盘f盘也有了,但是防火墙没有给出木马路径,上网搜寻也没有找到有用的办法,安全模式下查杀没有结果,sreng扫描也没有看出什么,现在是没有办法了。
不过,奇怪,现在打开这个机子联网,防火墙没有再报警,已经半个小时了没有反应。
请高手给分析分析,后面附安全模式下sreng扫描日子:
今天下载了一个PrcMgr.exe进程管理器,查看进程信息发现有两个conime.exe进程,一个是正常的进程,一个是较小一些没有模块没有位置不能结束的进程,应该是和gh0st rat木马后门监控报警的提示有关,进程管理器中点击删除这个进程文件,进程管理器提示找不到文件,点击确定,然后PrcMgr.exe进程管理器被关闭了(不过,然后打开还是正常运行的状态)同时系统自带的任务管理器中的可疑conime.exe进程也没有了,到现在半个小时了也还是没有。不知道这个可疑conime.exe文件是否真的删除了还是进一步隐藏了,请高手帮忙看看,谢谢!后面附上几个进程管理器导出列表,帮忙看看有没有可疑模块,谢谢!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)