陆上行舟 - 2010-7-15 0:22:00
首先描述一下,朋友的电脑,在猪八戒做任务,下载了一个软件,运行了一下,关闭后,发现其在C:\Program Files 安装了,重启机器发现其进程自动运行,杀掉进程后,删除C盘该程序文件,并已在注册表搜索该程序信息删除,随后扫描了一下系统日志,发上来大家帮忙看看,系统还有无异常。该程序附件包含。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)附件:
SREngLOG.log 附件:
bymlt1vv.rar
是昔流芳 - 2010-7-15 7:09:00
c:\windows\system32\rdpssw32.exe
c:\windows\system32\logon.scr
c:\windows\system32\termsrv.dll
c:\windows\system32\pedit.ocx
以上文件打包上传
c:\windows\system32\csrss.exe
c:\windows\system32\winlogon.exe
怎么会有两个同样的进程?检查一下以上两个文件的签名
陆上行舟 - 2010-7-15 9:49:00
您好,怎么会有两个同样的进程?指的是?
我的机器操作系统是深度的GHOST系统盘,并且安装了betwin 拖机软件。
使用数字签名检测 v1.0 工具对“C:\WINDOWS\system32”目录进行了检测,c:\windows\system32\csrss.exe
c:\windows\system32\winlogon.exe
这两个有签名。
需要打包文件在附件rui.rar。
另外请教一下,如何分析SREngLOG 日志?
附件:
rui.rar
木马bbbb - 2010-7-15 19:54:00
陆上行舟 - 2010-7-17 0:51:00
谢谢,此4个文件均安全,如下图,其他都没有什么问题吗?
54爱丽舍 - 2010-7-17 9:57:00
服务中
[RDPSSW32 / RDPSSW32][Running/Auto Start]
<C:\WINDOWS\System32\RDPSSW32.EXE><N/A>
这个东东真是没见过,可以再百度一下,反正我机器里没有,保险起见的话,可以禁用这个服务,觉得直接删除也没问题;
[营销宝 / Yingxiaobao][Stopped/Auto Start]
<><(File is missing)>
这个已经挂掉,直接删除掉
对这个360没什么好印象,还真不如装个AVG free呢
另外建议用windows清理助手(其官网也有绿色版的)全面清理下系统
陆上行舟 - 2010-7-17 10:37:00
原帖由 54爱丽舍 于 2010-7-17 9:57:00 发表
服务中
[RDPSSW32 / RDPSSW32][Running/Auto Start]
<C:\WINDOWS\System32\RDPSSW32.EXE><N/A>
这个东东真是没见过,可以再百度一下,反正我机器里没有,保险起见的话,可以禁用这个服务,觉得直接删除也没问题;
[营销宝 / Yingxiaobao][Stopped/Auto Start]
感谢回复,RDPSSW32 这个服务好像是安装拖机软件后有的,我再看看,yingxiaobao这个服务器已删除。
© 2000 - 2025 Rising Corp. Ltd.
