瑞星卡卡安全论坛技术交流区可疑文件交流 一个据说是只在内存中的一个进程,怎么提取?

1   1  /  1  页   跳转

一个据说是只在内存中的一个进程,怎么提取?

一个据说是只在内存中的一个进程,怎么提取?


 附件: 您所在的用户组无法下载或查看附件
1、就是上面这个ipconfig.exe,我已经按二进制比较了,确认硬盘上的ipconfig.exe没有被改动。
所以它应该不是硬盘上的那个。
2、这个进程也只能在xp系统自带的进程管理器中看到,并且一时出现一会又消失,大概2、3秒出现一次然后再消失然后再出现。
3、这个进程也不是一直都出现,大概每天会出现一次,出现后就猛搜硬盘,导致电脑速度明显变慢,不知它在找什么。
    并且似乎只搜C盘;
请看:

 附件: 您所在的用户组无法下载或查看附件
4、应该是一次浏览网页中招的,是firefox浏览器,但是找不到网址了;
5、最新的瑞星和ESET均没任何反应;
顺便再上传硬盘上的ipconfig.exe文件帮看看是否有问题,谢谢,被这玩意烦死了,不到万不得已可不想重做系统。

 附件: 您所在的用户组无法下载或查看附件
其中ipconfig.exe是C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache目录下的,比较了,二进制完全一样;
IPCONFIG.EXE-2395F30B.pf是C:\WINDOWS\Prefetch目录下的,不知这个文件什么意思。

用户系统信息:Mozilla/5.0 (Windows NT 5.1; rv:33.0) Gecko/20100101 Firefox/33.0
分享到:
gototop
 

回复:一个据说是只在内存中的一个进程,怎么提取?

咦???上传的附件为何连自己都没法看到???
最后编辑CnChip 最后编辑于 2014-12-01 18:36:01
gototop
 

回复 3F 瑞星工程师20 的帖子

有办法监控并直接从内存中提取这个执行文件吗?
我上传的这个应该不是内存中的那个。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT