1   1  /  1  页   跳转

又一个瑞星查不到的DLL木马

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-08-02 16:48 | 显示全部 短消息 资料
字号: 1楼

又一个瑞星查不到的DLL木马

中毒后,SRENG日志可见下列异常:
启动项目
注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\BITS]
    <WinlogonNotify: BITS><C:\windows\System32\Systen.dll>  []

==================================
正在运行的进程

[PID: 944][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\windows\system32\systen.dll]  [N/A, ]

查杀:

1、根据SRENG日志的进程号(PID)找到相应的svchost.exe进程,用IceSword强制卸除其中的病毒模块systen.dll


[用户系统信息]Opera/9.10 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:263
文件类型:image/pjpeg
文件大小:
上传时间:2007-8-2 16:48:32
描述:
预览信息:EXIF信息



最后编辑2008-02-28 17:44:47
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-08-02 16:49 | 显示全部 短消息 资料
字号: 2楼

2、删除病毒文件

附件附件:

下载次数:251
文件类型:image/pjpeg
文件大小:
上传时间:2007-8-2 16:49:05
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-08-02 16:49 | 显示全部 短消息 资料
字号: 3楼

3、删除病毒启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\BITS]
<WinlogonNotify: BITS><C:\windows\System32\Systen.dll> []
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT