[心得] 木馬綁住 svchost.exe
這篇心得不建議每個人都嘗試,
避免刪除系統的重要檔案 ^^
這幾天將是我生命中極其悲慘的記憶,因為確信中了木馬,
但使用 Process Explorer 卻找不到任何看似不正常的執行緒。
於是只好灌 Noton360 卡巴斯基 小紅傘 a-squared,
大概掃掉七八成吧,但似乎還是有些問題,
那便是我有好多的 ... svchost.exe
於是我開始清理系統碟 XD
發現一些隱藏的 *.dll 在 Windows 下,
而且看內容也沒有 公司 版本 之類的資料,
更詭異的是會有相同檔名的 *.dll 在 System32 下,
而且更新日期是今天 XD
所以我再度打開了 Process Explorer ,
檢查部分 svchost.exe 是不是掛載了這些有問題的 *.dll,
同時把這些啟動的 Command line 抄下來。
果然讓我抓到這幾隻剩下的木馬,
先把和這些 *.dll 檔有關的程序關掉,
接著為了安全起見,將覺得有疑慮的檔案用加密的 zip 壓縮,
最後重新啟動電腦,利用 Regedit 搜尋剛剛記下的 Command line,
把註冊表清理一下,總算有了比較乾淨的電腦可以用 XD
希望能幫助到人啦 XD
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.160.209.189
→
05/20 22:43, , 1F
05/20 22:43, 1F
→
05/20 22:44, , 2F
05/20 22:44, 2F
推
05/20 23:42, , 3F
05/20 23:42, 3F
→
05/20 23:46, , 4F
05/20 23:46, 4F
→
05/20 23:47, , 5F
05/20 23:47, 5F
推
05/21 03:22, , 6F
05/21 03:22, 6F
→
05/21 04:01, , 7F
05/21 04:01, 7F
→
05/21 04:02, , 8F
05/21 04:02, 8F
→
05/21 04:03, , 9F
05/21 04:03, 9F
→
05/21 04:03, , 10F
05/21 04:03, 10F