查人人中国名人网mc怎么设置传送点:名为 dbgView.Log 的记事本是啥东东啊~~~~~~~~~~~~
来源:百度文库 编辑:查人人中国名人网 时间:2024/05/06 10:27:04
开始进行注入,准备注入到winlogon进程
开始进行Hook
绑定端口30241成功
IP地址为3954fea9
[xCapture]收到断开连接的包
开始进行注入,准备注入到winlogon进程
IP地址为f6088cde
F6088CDE F6088CDE 30241 fgejlntj ilzafrkh
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
开始进行注入,准备注入到winlogon进程
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接
是病毒吗 是啥病毒啊 咋删除啊? 谢啊!!!!
我也有个这样的记录本~~是什么木马??我用卡巴和EWIDO都查不到~
8月13日
手工清除dbgView木马
今晚刚刚手动清除掉一个很新、很隐蔽的木马。其执行体通过注入Winlogon.exe来隐藏自身,进程管理中根本看不到。
特征:
1、C盘根目录下生成dbgView.Log文件,内容为“开始进行注入,准备注入到winlogon进程”等等。
2、用端口/进程查看当前网络连接,Winlogon.exe会在一个TCP端口上监听,端口号不固定。
3、目录C:\Program Files\Internet Explorer\下可能出现uswauabp.dll文件或msgamdea.dll,或其它名称的DLL,其文件特征为:查看文件属性,版本,描述为“SrvHost DLL”。
清除方法:
这个木马是通过注入Winlogon.exe、Explorer.exe、QQ.exe三个进程来隐藏自身,当用IceSword强行卸载其模块时,系统会出现蓝屏。
所以必须从注册表入手。在注册表中查找“uswauabp.dll”(执行体的文件名视IE目录下为准),在“HKEY_CLASSES_ROOT\CLSID\{1A404685-7563-4d02-B0F6-58B308A406A9}\InProcServer32”下出现,是以默认值的形式出现“@="c:\\programfiles\\internet explorer\\uswauabp.dll"”,于是把默认值改为空白。
重启系统,Winlogon.exe的端口不再出现,C:\Program Files\Internet Explorer\目录下的uswauabp.dll可以被删除。清除完毕。
很遗憾,偶一直使用金山毒霸 2006.08.13.15 病毒库,未能查到此木马。
参考链接:
http://cache.baidu.com/c?word=dbgview%3B%2E%3Blog%2C%F6%AD%3B%B7%B2%3B%C2%DB%CC%B3&url=http%3A//bbs%2Ecrsky%2Ecom/simple/index%2Ephp%3Ft771926%2Ehtml&b=9&a=0&user=baidu
http://www.pczone.com.tw/vbb3/showthread.php?t=126372