瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

12345678»   4  /  9  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

收藏
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-21 10:47 | 显示全部 短消息 资料
字号: 31楼

引用:
【猪宝宝2005的贴子】我说的验证是找到那个恶意文件。可惜当时采用的办法是看那个不顺眼就卸载那个程序。问题是暂时搞定了,但也没有办法验证(找到那个恶意文件)
...........................


理解错误,抱歉。
不过你说得那种情况一般都会以动态库的方式注入到Explorer.exe中,查起来比较费时,有时还得借助Autoruns工具
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-21 11:08 | 显示全部 短消息 资料
字号: 32楼

引用:
【猪宝宝2005的贴子】上次我用HijackThis.exe查了,没有发现
删除不顺眼的,也问题依旧。由于那个框不是一开机就有,曾一度怀疑:网络上别人搞鬼。用netstat -an查看前、后,没有发现有价值的线索
...........................


对付网络问题Procexp有点弱,可以去www.sysinternals.com下载一个tcpview工具
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-24 09:14 | 显示全部 短消息 资料
字号: 33楼

补充:
因为Procexp功能比较强大,有些木马会不停的遍历进程,当发现时就将procexp从进程杀掉,致使其不能工作,这时可以把改改一下名字,就可以了;另一种通过遍历窗口名字关闭procexp的方法我现在还没有解决方法。
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-25 08:59 | 显示全部 短消息 资料
字号: 34楼

引用:
【煌荣人生的贴子】可惜是英文的看不懂

...........................


其实工具的英文不是很难的,用一段时间就习惯了
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-25 09:16 | 显示全部 短消息 资料
字号: 35楼

补充Autoruns工具使用技巧:
autoruns启动项比较多,可选择Options->Verify Code Signatures & Hide Signed Microsoft Entries两项

这样就会缩小查看范围,还可以找出那些没有签名的项

如图:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-25 9:16:24
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-25 09:19 | 显示全部 短消息 资料
字号: 36楼

图中选择项是微软第三方DLL项(Publisher是微软),可以选择属性确认:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-25 9:19:34
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-25 09:23 | 显示全部 短消息 资料
字号: 37楼

属性说明是第三方给微软开发的

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-25 9:23:06
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-25 14:45 | 显示全部 短消息 资料
字号: 38楼

引用:
【ΘōΘ阳光的贴子】大哥啊!
还是找汉化的吧!
英文看不懂啊!??
...........................


个人认为工具是英文挺好,只是工具作者的网站是英文的看起来有点费劲,若用汉化的可以在网上google一下
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-26 12:36 | 显示全部 短消息 资料
字号: 39楼

引用:
【秋田的贴子】我一直被conime.exe进程所困扰,有人说是远程控制程序,有人说是文字编辑程序。现在是不是通过了签名认证?
...........................


没问题的,是操作系统的控制台程序用的,一般你打开CMD.exe都会自动运行它
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-26 16:47 | 显示全部 短消息 资料
字号: 40楼

为方便大家,在网上google了汉化版下载地址


autoruns8.22汉化版
http://download.pchome.net/php/dl.php?sid=18887

Procexp 9.25汉化版
http://download.pchome.net/php/dl.php?sid=17766

说明:我下载时未发现病毒,但不保证大家下载也没问题(汉化的一般)
gototop
 
<<上一主题|下一主题>>
12345678»   4  /  9  页   跳转
页面顶部
Powered by Discuz!NT