瑞星卡卡安全论坛

好软件.....  西西。 .

我一直被conime.exe进程所困扰，有人说是远程控制程序，有人说是文字编辑程序。现在是不是通过了签名认证？

附件: 59196320051026102813.JPG

引用:

【秋田的贴子】我一直被conime.exe进程所困扰，有人说是远程控制程序，有人说是文字编辑程序。现在是不是通过了签名认证？ ...........................

没问题的，是操作系统的控制台程序用的，一般你打开CMD.exe都会自动运行它

那位大哥  教我怎样把此软件 变成中文呀  妹妹  谢了

为方便大家，在网上google了汉化版下载地址


autoruns8.22汉化版
http://download.pchome.net/php/dl.php?sid=18887

Procexp 9.25汉化版
http://download.pchome.net/php/dl.php?sid=17766

说明：我下载时未发现病毒，但不保证大家下载也没问题（汉化的一般）

太可惜了是英文的看不懂  但还是要感谢楼主！！！

谢了，复下来慢慢看

h很好的工具啊我也在用啊我顶呵呵

8错～～～

Autoruns更新到8.3
更新内容：
1）增加了"print monitors"页签项
2）Explorer项增加了"Column handlers"项
3）显著提高了程序的签名验证速度

附件: 58878120051027153825.JPG

我比较菜。看不懂英文。。。。。你能不能把常见的木马删除的方法。发出来？

引用:

【loveoshio0202的贴子】我比较菜。看不懂英文。。。。。你能不能把常见的木马删除的方法。发出来？ ...........................

目前没有样本，以后有的话我随时发上来

有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。(正常如图，被修复后看不见图中标注的项)

针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""


具体操作方法：
1）通过记事本新建一个文件
2）将以上内容复制到新建的记事本文件中
3）通过记事本文件菜单另存为show.reg
4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。

注意：以上方法对win2000和XP有效

附件: 58878120051110100013.JPG

【回复“小菜菜鸟鸟”的帖子】汉化新世纪有汉化版 ：
http://www.hanzify.org/index.php?Go=Show::List&ID=8986

请问：这是两个什么东东？楼主的机子里也是一样的。

附件: 59196320051027192642.jpg

一般木马程序为了减少程序大小、防止反汇编，都采用加壳技术，对于可疑程序我们可以通过这一点可以提高木马的识别率，procexp可以看到运行的程序是否采用了加壳处理。

具体操作如下：
1）在Options菜单中选择Configure Highlighting...


附件: 58878120051027193135.JPG

2）设置颜色

附件: 58878120051027193453.JPG

3）进程列表中加壳程序则以设置的特殊颜色显示

附件: 58878120051027193734.JPG

注意：不是所有加壳的程序都是木马的，我贴图中的金山词霸被金山公司加了UPX壳

引用:

【秋田的贴子】请问：这是两个什么东东？楼主的机子里也是一样的。 ...........................

那是微软内核用硬件中断和缓存调用，俺也不是很懂，不用去管它

Autoruns更新到8.31

不知Mark这老先生干嘛，更新这么快，功能没啥变化，估计是修改BUG吧

真不知道说什么好,总是太感谢了,折腾了我一下午的病毒终于给删除了,哈哈^_^,谢谢这位大侠了

灰鸽子用procexp不易找到，建议先用Autoruns删除启动项，重启计算机，再删文件，以下是我的一点心得，希望对大家有所帮助。

本人运行了一个灰鸽子的病毒，病毒一运行，自动把自己删除了，我用procexp在进程中未发现可疑的进程，打开Autoruns工具发现一个g_server2.0.exe的服务启动项

附件: 5887812005111185306.JPG

我用procexp的句柄查看功能查找G_server2.0.exe,发现有C:\windows\G_Server2.0.exe，此时我确认灰鸽子已经运行起来了，马上就网络断掉（木马会窃取资料，大家应该都知道）

附件: 5887812005111185647.JPG

我进入C:\windows下找到G_server20.exe，发现它的属性是系统、隐藏、只读的，删除，双击运行，都提示错误

附件: 5887812005111190020.JPG

用瑞星进行内存杀毒提示C:\program files\Internet Explorer\IExplorer.exe，有病毒，原来病毒将自己从系统进程链表中删除了自己并伪造了IExplorer.exe的路径。

附件: 5887812005111190445.JPG

因为G_server2.0.exe是通过服务方式启动的，所以我删除了它的启动项

附件: 5887812005111190737.JPG

重新启动，因为删除了启动项，此时病毒没有运行，进到C:\windows目录下找到G_server2.0.exe，将其删除

附件: 5887812005111190922.JPG

楼主，您好！
关于ProcessExplorerNt.zip软件，好像它针对不同系统有不同版本。我想问一下：
如何确定自己的系统是32位、还是64位呢（我的是XP+SP2）？可以在系统哪里可以看到吗？