瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 插入系统进程木马的手工查杀方法【推荐】

1   1  /  1  页   跳转

插入系统进程木马的手工查杀方法【推荐】

收藏
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-01-05 15:35 | 显示全部 短消息 资料
字号: 1楼

插入系统进程木马的手工查杀方法【推荐】

在这里我们假设:
***.dll就是插入系统进程的DLL木马
***.exe就是被插入***.dll的系统进程

解决方法:
(1)用System Repair Engineer 查看插入到***.exe进程中的***.dll
System Repair Engineer 下载:
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

(2)用Icesword替换 ***.exe
打开Icesword,在主界面左边选择“文件”菜单
找到并选中***.exe按右键
选择“复制”命令
然后要求输入目标文件路径
浏览选择正在使用中的受感染的***.exe
确定
Icesword下载:
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

(3)重新启动计算机
删除***.dll
最后编辑2006-01-12 23:41:06
分享到:
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-01-05 15:54 | 显示全部 短消息 资料
字号: 2楼

引用:
【BlackStone的贴子】其实插入系统进程的DLL木马,也得有启动项,大都写在注册表中,只要不是使用了驱动保护注册表项,大都可以通过一下方式解决:
1)找到注册启动项
2)删除注册表启动项
3)重启
4)删除木马文件

重要的是删除了注册表启动项,需要重启,因为这时直接删除文件是删除不了的
...........................

因为这类木马是没有自启动项的
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-01-05 16:03 | 显示全部 短消息 资料
字号: 3楼

引用:
【2116bromgamed2m的贴子】【不言放弃的贴子】

怎么样能发现系统里被插进了这样的***.dll,***.exe。

谢谢!!
...........................

第一步就是
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-01-05 16:12 | 显示全部 短消息 资料
字号: 4楼

【回复“BlackStone”的帖子】
http://forum.ikaka.com/topic.asp?board=28&artid=7640943
在Autoruns日志中
你看到C:\WINDOWS\TEMP\vmmqk5c.dll的自启动项了吗
不要把Autoruns看得多么了不起
整个Autoruns日志中竟然没有C:\WINDOWS\TEMP\vmmqk5c.dll的影子
晕倒
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-01-12 23:41 | 显示全部 短消息 资料
字号: 5楼

引用:
【BlackStone的贴子】

你没有理解我的本意,一个DLL如果要注入到系统进程中,它得需要注入者

至于你说的C:\WINDOWS\TEMP\vmmqk5c.dll没有启动项是因为c:\windows\svchost.exe是它的注入者,它负责把C:\WINDOWS\TEMP\vmmqk5c.dll注入系统,你只要把c:\windows\svchost.exe的启动项删除,当然C:\WINDOWS\TEMP\vmmqk5c.dll也就不会注入系统了。
...........................

c:\windows\svchost.exe的启动项?
不懂
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT