| 引用: |
【网缘绝恋的贴子】猫叔 问个白痴问题
[PID: 568][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\zxapri.dll] [N/A, ]
这种插winlogon.exe进程的DD,比较难杀。
怎么看的
……………… |
[PID: 568]——进程号。
[\??\C:\WINDOWS\system32\winlogon.exe]——进程名称及其路径。
[C:\WINDOWS\system32\zxapri.dll]——这个紧随进程后的就是插入该进程中的dll模块。
至于怎么认定C:\WINDOWS\system32\zxapri.dll是病毒模块而非正常库文件————参考SRENG日志以及阅读日志的经验。
当然,也可以在网络上查询zxapri.dll的相关信息核实其真实身份。
