【原创】如何用Procexp和Autoruns工具识别与删除木马程序

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】如何用Procexp和Autoruns工具识别与删除木马程序

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

«2 3 4 5 6 789

8 / 9 页

跳转页

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-12-02 09:13 \| 显示全部短消息资料字号：小中大 71楼 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + CnsMinFile not found: C:\WINDOWS\downlo~1\CnsMin.dll + DSLAGENTEXEFile not found: dslagent.exe + GSICONEXEFile not found: GSICON.EXE + netbusFile not found: C:\\netbus.exe C:\Documents and Settings\All Users\「开始」菜单\程序\启动 C:\WINDOWS\Html HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks + coolbar\ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify + skwinlogonc:\windows\system32\dll.dll + UpdatenmFile not found: upern.dll + xyzDownFile not found: xyzDown.dll 删除以上启动项重启删除c:\windows\system32\dll.dll试试
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2005-12-02 11:02 | 显示全部 短消息资料

字号：小中大 72楼

引用:

【dwhlll的贴子】

晕，我直接把这一项删除了，在注册表里找不到了
...........................

没事的
把一下内容保存为reg.reg，双击导入即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\Explorer.exe"

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2005-12-15 12:35 | 显示全部 短消息资料

字号：小中大 73楼

引用:

【一簔烟雨的贴子】
谢谢楼主耐心细致的讲解！学习了。
在汉化新世纪已经有Autoruns8.4的汉化版了，我刚下的。有E不好的朋友可以去那里下载
...........................

autoruns的官方最新版本为8.43

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-12-26 14:16 \| 显示全部短消息资料字号：小中大 74楼【回复“jiqimao401”的帖子】用Autoruns保存一个日志发上来日志保存方法:选择File->Save菜单项保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮) 工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-12-26 14:46 \| 显示全部短消息资料字号：小中大 75楼【回复“jiqimao401”的帖子】日志看不出什么问题，你的机子有什么问题。
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-12-26 15:04 \| 显示全部短消息资料字号：小中大 76楼你的速度慢是指什么，网速、计算机响应。日志看不出有啥问题，你可以看看http://forum.ikaka.com/topic.asp?board=28&artid=7538008有没有帮助
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-12-27 08:47 \| 显示全部短消息资料字号：小中大 77楼【回复“啸饮狂砂”的帖子】日志里没看出有啥问题
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2005-12-28 08:53 | 显示全部 短消息资料

字号：小中大 78楼

引用:

【啸饮狂砂的贴子】谢谢楼主,可这没公司的项目是否是有问题的呢?
我心里不踏实.如:npkycrypFile not found: D:\Tencent\QQ\npkycryp.sys
Display Panning CPL ExtensionFile not found: deskpan.dll这些启动项我关了,不知道是什么东西.
...........................

这两项没什么问题
D:\Tencent\QQ\npkycryp.sys是腾讯的，文件已经不存在了，可以删除启动项

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2005-12-28 17:57 | 显示全部 短消息资料

字号：小中大 79楼

【回复“不再想用win”的帖子】

引用:

【不再想用win的贴子】楼主，请教，我的机器出现您在71楼说得问题，根据您的指导已经恢复，但不明白什么原因导致那2项不让更改的，我经常更改那2项的，近期突然发现被禁止了，我的第二套系统启动后还可以更改，但在1小时后也被禁止了，您能给解惑吗？谢谢了！
...........................

你的系统内存中可能有木马或其他恶意程序修改了这个注册表项。

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2005-12-28 18:01 | 显示全部 短消息资料

字号：小中大 80楼

【回复“梦幻的心”的帖子】

引用:

【梦幻的心的贴子】+ RavMonFile not found: E:\SECURITY\RAV2005\RAVMON.EXE

我删除以后刷新又出来了，就进入注册表删除，结果弹出对话框，告诉我“无法删除所有指定的值”，以前瑞星是安装在这个路径的，后来卸载以后安装到别的地方了，可是这个启动项就是去不掉，请问这个怎么办啊？
...........................

看日志你装了瑞星2006，有可能你在瑞星里把regedit修改注册表Run项禁止了，你可以在监控托盘图标中右键菜单中选择“注册表监控自动处理列表项”中去掉对regedit的禁止修改限制或直接关闭瑞星注册表监控再删除试试。

<<上一主题|下一主题>>

«2 3 4 5 6 789

8 / 9 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】如何用Procexp和Autoruns工具识别与删除木马程序