UC知道IEXPLORE进程,开机自运行,结束之后,又重建
来源:百度知道 编辑:UC知道 时间:2024/05/10 00:43:28
Logfile of HijackThis v1.99.1
Scan saved at 11:49:15, on 2006-12-21
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\SkyNet\FireWall\PFW.exe
D:\Program Files\RamCleaner.exe
C:\WINNT\system32\internat.exe
C:\DOCUME~1\sigman\LOCALS~1\Temp\Rar$EX00.594\HijackThis.exe
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B
Scan saved at 11:49:15, on 2006-12-21
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\SkyNet\FireWall\PFW.exe
D:\Program Files\RamCleaner.exe
C:\WINNT\system32\internat.exe
C:\DOCUME~1\sigman\LOCALS~1\Temp\Rar$EX00.594\HijackThis.exe
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B
中了新的,改的,加壳的灰鸽子,把服务项帖出来.
023的服务帖全了?
一般系统的启动服务不会这么少
O23 - Service: Ati HobsKey Pdoler - Unknown owner - C:\WINNT\IO.sys ;这个有应该是有问题,驱动不会以启动服务的形式出现
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe,是硬盘管理,一般也不会随机启动,去看看他的具体属性.
另外去弄个驱动HOOK检查工具,看看是否有内核或全局钩子.
IEXPLORE进程是正常的。但是有一个不正常:
正常的internat.exe在C:\\WINDOWS\\SYSTEM\\里,QQ密码侦探运行后,首先把正常的internat.exe移到C:\\WINDOWS\\目录下,然后将自己伪装成internat.exe,并复制到C:\\WINDOWS\\SYSTEM\\里运行,是不是很幼稚
怎么判断你的internat.exe是不是木马呢?
方法是:
到C:\\WINDOWS\\SYSTEM\\里找internat.exe看它的大小是不是32k左右
如果大得出奇,有200多K,那就有问题
到任务管理器里把internat.exe kill掉
再删了它
建议你将完整的扫描报告 贴到http://hi.baidu.com/teyqiu这个人的空间里去问问看,这位朋友对这个软件的扫描有研究心得。
那用那么复杂,看都看到人家