1   1  /  1  页   跳转

请问如何清除RemoteNC后门

收藏
XSNOWX
头像
初生襁褓狮
  • 帖子:60
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-11-06 14:01 | 显示全部 短消息 资料
字号: 1楼

请问如何清除RemoteNC后门

明目张胆的添加了Remote Command Service服务,只要一运行程序就自行写入注册表,添加一个隐藏用户。如何删除这个后门呢?

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )
最后编辑2007-11-13 21:26:30
分享到:
gototop
 
XSNOWX
头像
初生襁褓狮
  • 帖子:60
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-11-06 19:55 | 显示全部 短消息 资料
字号: 2楼

好的。
我看到每个进程中都插入了许多未经认证的文件
如:Unicode.nls
locale.nls
sortkey.nls
sorttbls.nls
ctype.nls
perflib_perfdata_560.dat
dump_nvatabus.sys[这个国外网站上说是nvdia的显示驱动,可我虽然用的是nf4主板,但显卡是ati的,而且这东西的路径是system32下,但开机后内存中有,system32底下没有-可以新建一个文件重命名为dump_nvatabus.sys]这个是不是木马?
注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Search Assistant\\ACMru\\5603中和dump_nvatabus.sys  在一起的键值还有sortkey.nls ;sorttbls.nls ; *.msi ;perflib_perfdata_560.dat; 是不是绑定了msi的安装?5603和5604下的键值是不是都是病毒。
dump_wmilib.sys

另外这个版本的SMSS.EXE找不到微软签名
gototop
 
XSNOWX
头像
初生襁褓狮
  • 帖子:60
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-11-06 19:56 | 显示全部 短消息 资料
字号: 3楼

我是菜虫,谢谢大家的指点。
gototop
 
XSNOWX
头像
初生襁褓狮
  • 帖子:60
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-11-09 21:23 | 显示全部 短消息 资料
字号: 4楼

哪里能看到钩子?请问如何卸载?
gototop
 
XSNOWX
头像
初生襁褓狮
  • 帖子:60
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-11-09 21:24 | 显示全部 短消息 资料
字号: 5楼

http://forum.ikaka.com/topic.asp?board=28&artid=8391446

上面的连接是我的检测报告。
gototop
 
XSNOWX
头像
初生襁褓狮
  • 帖子:60
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-11-13 21:37 | 显示全部 短消息 资料
字号: 6楼

不用诺顿有4年了。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT