插入系统进程木马的手工查杀方法【推荐】

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛插入系统进程木马的手工查杀方法【推荐】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-01-05 15:35 \| 只看楼主短消息资料字号：小中大 1楼插入系统进程木马的手工查杀方法【推荐】在这里我们假设： *.dll就是插入系统进程的DLL木马 .exe就是被插入.dll的系统进程解决方法：（1）用System Repair Engineer 查看插入到.exe进程中的.dll System Repair Engineer 下载： http://forum.ikaka.com/topic.asp?board=28&artid=6979213 （2）用Icesword替换 .exe 打开Icesword，在主界面左边选择“文件”菜单找到并选中.exe按右键选择“复制”命令然后要求输入目标文件路径浏览选择正在使用中的受感染的.exe 确定 Icesword下载： http://forum.ikaka.com/topic.asp?board=28&artid=6979213 （3）重新启动计算机删除**.dll 2006-01-12 23:41:06
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	分享到：

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2006-01-05 15:47 \| 短消息资料字号：小中大 2楼其实插入系统进程的DLL木马，也得有启动项，大都写在注册表中，只要不是使用了驱动保护注册表项，大都可以通过一下方式解决： 1）找到注册启动项 2）删除注册表启动项 3）重启 4）删除木马文件重要的是删除了注册表启动项，需要重启，因为这时直接删除文件是删除不了的
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

社区嘉宾

帖子:30678
注册: 2004-09-17
来自:蓝色星球

发表于： 2006-01-05 15:54 | 只看楼主 短消息资料

字号：小中大 3楼

引用:

【BlackStone的贴子】其实插入系统进程的DLL木马，也得有启动项，大都写在注册表中，只要不是使用了驱动保护注册表项，大都可以通过一下方式解决：
1）找到注册启动项
2）删除注册表启动项
3）重启
4）删除木马文件

重要的是删除了注册表启动项，需要重启，因为这时直接删除文件是删除不了的
...........................

因为这类木马是没有自启动项的

2116bromgamed2m 锋芒艾服狮帖子:1263 注册: 2005-10-18 来自:SC	发表于： 2006-01-05 16:01 \| 短消息资料字号：小中大 4楼【不言放弃的贴子】怎么样能发现系统里被插进了这样的*.dll，*.exe。谢谢！！
2116bromgamed2m 锋芒艾服狮帖子:1263 注册: 2005-10-18 来自:SC

社区嘉宾

帖子:30678
注册: 2004-09-17
来自:蓝色星球

发表于： 2006-01-05 16:03 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【2116bromgamed2m的贴子】【不言放弃的贴子】

怎么样能发现系统里被插进了这样的***.dll，***.exe。

谢谢！！
...........................

第一步就是

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2006-01-05 16:04 | 短消息资料

字号：小中大 6楼

引用:

【不言放弃的贴子】
因为这类木马是没有自启动项的
...........................

不可能，除非它替换了系统的动态库或感染了系统的EXE文件。
你可以仔细看看Autorun里的所有启动项。

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-01-05 16:12 \| 只看楼主短消息资料字号：小中大 7楼【回复“BlackStone”的帖子】 http://forum.ikaka.com/topic.asp?board=28&artid=7640943 在Autoruns日志中你看到C:\WINDOWS\TEMP\vmmqk5c.dll的自启动项了吗不要把Autoruns看得多么了不起整个Autoruns日志中竟然没有C:\WINDOWS\TEMP\vmmqk5c.dll的影子晕倒
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2006-01-05 16:25 | 短消息资料

字号：小中大 8楼

引用:

【不言放弃的贴子】【回复“BlackStone”的帖子】
http://forum.ikaka.com/topic.asp?board=28&artid=7640943
在Autoruns日志中
你看到C:\WINDOWS\TEMP\vmmqk5c.dll的自启动项了吗
不要把Autoruns看得多么了不起
整个Autoruns日志中竟然没有C:\WINDOWS\TEMP\vmmqk5c.dll的影子
晕倒
...........................

你没有理解我的本意，一个DLL如果要注入到系统进程中，它得需要注入者

至于你说的C:\WINDOWS\TEMP\vmmqk5c.dll没有启动项是因为c:\windows\svchost.exe是它的注入者，它负责把C:\WINDOWS\TEMP\vmmqk5c.dll注入系统，你只要把c:\windows\svchost.exe的启动项删除，当然C:\WINDOWS\TEMP\vmmqk5c.dll也就不会注入系统了。

2116bromgamed2m 锋芒艾服狮帖子:1263 注册: 2005-10-18 来自:SC	发表于： 2006-01-05 16:59 \| 短消息资料字号：小中大 9楼看高手切磋.收藏贴学习中......
2116bromgamed2m 锋芒艾服狮帖子:1263 注册: 2005-10-18 来自:SC

社区嘉宾

帖子:30678
注册: 2004-09-17
来自:蓝色星球

发表于： 2006-01-12 23:41 | 只看楼主 短消息资料

字号：小中大 10楼

引用:

【BlackStone的贴子】

你没有理解我的本意，一个DLL如果要注入到系统进程中，它得需要注入者

至于你说的C:\WINDOWS\TEMP\vmmqk5c.dll没有启动项是因为c:\windows\svchost.exe是它的注入者，它负责把C:\WINDOWS\TEMP\vmmqk5c.dll注入系统，你只要把c:\windows\svchost.exe的启动项删除，当然C:\WINDOWS\TEMP\vmmqk5c.dll也就不会注入系统了。
...........................

c:\windows\svchost.exe的启动项？
不懂

<<上一主题|下一主题>>

1 / 1 页

跳转页

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-01-05 15:35 \| 只看楼主短消息资料字号：小中大 1楼插入系统进程木马的手工查杀方法【推荐】在这里我们假设： *.dll就是插入系统进程的DLL木马 .exe就是被插入.dll的系统进程解决方法：（1）用System Repair Engineer 查看插入到.exe进程中的.dll System Repair Engineer 下载： http://forum.ikaka.com/topic.asp?board=28&artid=6979213 （2）用Icesword替换 .exe 打开Icesword，在主界面左边选择“文件”菜单找到并选中.exe按右键选择“复制”命令然后要求输入目标文件路径浏览选择正在使用中的受感染的.exe 确定 Icesword下载： http://forum.ikaka.com/topic.asp?board=28&artid=6979213 （3）重新启动计算机删除**.dll 2006-01-12 23:41:06
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 插入系统进程木马的手工查杀方法【推荐】

插入系统进程木马的手工查杀方法【推荐】

插入系统进程木马的手工查杀方法【推荐】

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛插入系统进程木马的手工查杀方法【推荐】