基牛 - 2009-7-14 0:33:00
7月8号练习1
C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\SYSTEM32\W32TIME.DLL<Microsoft Corporation>(删除)不明白为什么删除
驱动程序
[sysHostSvc / sysHostSvc][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\GuiHelp.sys><Microsoft Corporation>(删除)
7月8号练习2
C:\WINDOWS\system32\GameLink.dll(未删除) 这个文件插入了大量的进程,不正常
C:\WINDOWS\system32\ati2evxx.dll(未删除) 他和C:\WINDOWS\system32\Ati2edxx.dll这个只有1个字母之差,而且公司签名和ati都有不同,不正常
<updater><; C:\WINDOWS\system32\updater.exe> [File is missing](删除) 既然文件已经丢失,删除不删除是不是都一样???(困惑中)
7月8号练习6
C:\altera\quartus60\win\JTAGServer.exe(未删除) 无公司签名的服务
[232] \??\C:\WINDOWS\system32\winlogon.exe(删除) 这个隐藏进程被和谐,只是因为在进程中没有相同的一项在运行????
7月9日 10
system32\DRIVERS\secdrv.sys 发现这个驱动文件 居然也会带有公司标签- -!!!(那意思就是没有带公司标签的都非法- -?)
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; 360SE)
lqqk7 - 2009-7-14 10:02:00
C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\SYSTEM32\W32TIME.DLL<Microsoft Corporation>
这个不该删除,是自动同步时间的服务,忘记当时在干啥了,犯了个低级错误:kaka8: ,谢谢指正;
[sysHostSvc / sysHostSvc][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\GuiHelp.sys><Microsoft Corporation>
注意事项里已经说明,对于一时拿不准的东西,不要轻易删除,可以上报给反病毒厂商进一步鉴定;
C:\WINDOWS\system32\GameLink.dll
正常的,一个类似于“迅游”的游戏加速代理工具,插入大量进程的不一定就是病毒;
C:\WINDOWS\system32\ati2evxx.dll和C:\WINDOWS\system32\Ati2edxx.dll都是ATI显卡驱动相关文件;
<updater><; C:\WINDOWS\system32\updater.exe> [File is missing]
File is missing是指当前文件不存在,可以已经被杀毒软件杀掉,也可能病毒启动并完成一系列操作后将自身删除,但是注册表键值该删还是要删的;
C:\altera\quartus60\win\JTAGServer.exe
不是没版本信息、没签名的文件都有问题,分析日志和分析病毒样本同,我们不了解病毒的行为,所以判断文件是否正常要从多方面综合分析,病毒为了便于传播和隐蔽,一般会将自身创建在所有人的电脑都有的目录中(如%windir%\system32,所有windows系统都有这个目录),像C:\altera\quartus60\win\JTAGServer.exe这样的路径基本可以肯定是求助者自己安装的应用软件;
[232] \??\C:\WINDOWS\system32\winlogon.exe
:kaka6: 不要光看我给出的参考结果,帖子里写的注意事项也要注意看一下,注意事项里已经说明了“绝不要删除这个文件”;
system32\DRIVERS\secdrv.sys
带不带版本信息不是判断可疑的唯一依据,很多正常的程序也没版本信息,而很多病毒也会去伪装一个正常程序的公司名称;
基牛 - 2009-7-14 11:40:00
老师。您真耐心 一个谢字怎能表达我内心感激之情:kaka4: :kaka4: :kaka4:
still刀刀 - 2009-7-14 17:03:00
驱动有名称 完整印象路径 公司信息的没问题
<N\A>有问题 ,可疑
Lighting_Cui - 2009-7-14 18:13:00
<updater><; C:\WINDOWS\system32\updater.exe> [File is missing]
是说 这样子的 都应该从注册表中删除么?
:kaka3: :kaka3:
零度的穷浪漫 - 2009-7-29 0:06:00
<updater><; C:\WINDOWS\system32\updater.exe> [File is missing]
前面有分号的,说明未启用,然后没有用嘛,需要删除
© 2000 - 2026 Rising Corp. Ltd.