查人人中国名人网中国银行的工装:很有难度的问题(非高手不要进,进了也没用)
来源:百度文库 编辑:查人人中国名人网 时间:2024/05/06 19:04:17
请教:怎么杀dll木马(进程是svchost和lsass的dll木马)。请高手帮忙解答一下,谢谢了!!!
用纯杀毒软件的笨方法就不要在此讲了,(偶已经用了十几种杀毒软件瑞星,金山,卡巴。。。,检测都检测不出来)偶需要手动杀毒的方法。 我用netstat/ano查看端口,有123。135。445。500。1025。1900。4500端口开着。135,445,1025等待连接(网线早拔了)进程是svchost,lsass.<注:重装系统,低格都解决不了> 我看是yanacl2017儿子的人品有问题吧
用纯杀毒软件的笨方法就不要在此讲了,(偶已经用了十几种杀毒软件瑞星,金山,卡巴。。。,检测都检测不出来)偶需要手动杀毒的方法。 我用netstat/ano查看端口,有123。135。445。500。1025。1900。4500端口开着。135,445,1025等待连接(网线早拔了)进程是svchost,lsass.<注:重装系统,低格都解决不了> 我看是yanacl2017儿子的人品有问题吧
手动的:先使用procexp查找dll所在的进程,然后打开IceSword右键点注入了dll的进程,选择模块信息,找到这个dll后卸除...肯定能够删除掉,但是不能保证系统的稳定性,以上2个软件不想自己找的话留你的email
重装系统
备份一下重要文件,重装一下算了!
svchost在什么目录下,如果不在winnt\system32下,就有问题,估计是建立服务了,如果是隐藏服务的话,那就看不到了,建议网上找查找隐藏进程和服务的工具.
如果不是,就直接打开服务,检查自动运行的,不会有多少,右击属性,看关联文件,如果是关联winnt\svchost或者winnt\temp\svchost,基本可以确定是后门木马.
看你也有一定电脑知识,就不详细说了,无非是停止服务,检查注册表,删除病毒文件.
如果是注入进程的话,看看模块也没错,不过这个需要对很多模块熟悉,一般做不到的,如果你熟悉的话,就用SSM或者别的工具分析下.
另外,你最好hjack扫描日志贴上来,这样只能泛泛说下.
我早想到我的儿子就会冒充他的爸爸来这里了!这个儿子神经很有问题,见到他的只要不说"你是包皮"他就跟你急.
辛好我非常聪明知道他会来这里,跟大家解释一下,好不让我们guoli918家族名誉扫地!
对不起啊,我才是guoli918的爸爸。和他的妈上床的男人太多了,不知道谁才是他的正式爸爸。其实我才是。大家不要一般见识。它妈的比只是为它还帐。这个畜生不懂事,又从牢房里面偷跑出来咬人。大家小心啊,这人已经被疯狗咬过,非常大的可能性有狂犬病。请大家不要与它一般见识。