瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

«23456789   7  /  9  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

太多了

用Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项
保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮)
gototop
 

从日志中未发现异常
去http://forum.ikaka.com/topic.asp?board=28&artid=7386171
把问题在那里描述一下
gototop
 

1)看机启动后不要关闭那个记事本,用Procexp看看是那个进程运行的Notepad.exe

2)用Autoruns取消IE的插件试试
gototop
 

【回复“阿蛮”的帖子】
日志里看不出有啥问题
你的机子有啥异常嘛
gototop
 

【回复“流浪射手”的帖子】
+ WinMediaRoNVidiaRoNVidiac:\windows\system32\nvbworks.dll

禁用重启试试
gototop
 

【回复“七彩黄花菜萱草”的帖子】

多谢,我已更正。
gototop
 

引用:
【七彩黄花菜萱草的贴子】请教楼主:Procexp和Autoruns扫描出

来的日志的字体字号可以设置吗?看不是很清楚呀.
[img][/img]如图的Autoruns.exe和Autorunsc.exe有什么差别?后者一闪

就过去了,好象是在命令提示符下的黑色屏幕.
...........................


1)不知道你说的字体是指工具本身显示的字体还是存贮的日志字体,工

具本身显示的字体可以通过Option->Font菜单项设置,至于保存的日志

字体可通过设置记事本本身的字体进行设置的,因为它保存的日志是普

通的文本格式。
2)Autoruns.exe是一个控制台程序,你需要在CMD中运行
Autorunsc is the command-line version of Autoruns. Its usage

syntax is:

Usage: autorunsc [-a] | [-c] [-b] [-d] [-e] [-h] [-i] [-l] [-m]

[-n] [-p] [-s] [-v] [-w] [user]

-a
    Show all entries.
-b
    Boot execute.
-c
    Print output as CSV.
-d
    Appinit DLLs.
-e
    Explorer addons.
-h
    Image hijacks.
-i
    Internet Explorer addons.
-l
    Logon startups (this is the default).
-m
    Hide signed Microsoft entries.
-n
    Winsock protocol providers.
-p
    Printer monitor drivers.
-s
    Autostart services.
-t
    Scheduled tasks.
-v
    Verify digital signatures.
-w
    Winlogon entries.
user
    Dump autoruns for the specified user account.

具体可去社区

http://www.sysinternals.com/Forum/forum_topics.asp?FID=16看看
gototop
 

Autoruns版本升级到8.4

增加了遍历驱动的页签项

http://www.sysinternals.com/Utilities/autoruns.html
gototop
 

引用:
【七彩黄花菜萱草的贴子】【回复“dwhlll”的帖子】
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

+ Explorer.exec:\windows\system32\explorer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ Explorer.exec:\windows\system32\explorer.exe

有问题。
试试:
删除这两启动项
用卡卡助手结束explorer.exe进程(看清路径)
进安全模式删除C:\windows\system32\explorer.exe


...........................


补充一点:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
+ Explorer.exec:\windows\system32\explorer.exe

不能直接删除,要在注册表中把对应项c:\windows\system32\explorer.exe
改为c:\windows\explorer.exe

gototop
 

引用:
【dwhlll的贴子】

谢谢,能说一下怎么在注册表中修改吗?我不会
...........................


http://forum.ikaka.com/topic.asp?board=28&artid=7318038&page=2的17楼
gototop
 
«23456789   7  /  9  页   跳转
页面顶部
Powered by Discuz!NT