ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 病毒凶猛-续

病毒凶猛-续

原创 Linux操作系统 作者:davidyu720 时间:2019-03-19 14:24:05 0 删除 编辑

昨天痛杀病毒、痛杀恶意插件后,小黑运行正常。

但今天上午突然蹦出提示:RUNDLL32: 找不到system32\dc1.dll文件。让我大惊失色:难道还有隐藏很深的注入点?

立即检查:

  1. 用procexp查进程命令行为rundll32 C:\WINDOWS\system32\dc1.dll,Always 于是在注册表中搜索dc1.dll未果;搜索,Always 也无结果;
  2. 查rundll32进程的父进程为svchost.exe -k netsvcs,在注册表CurrentControlSet\Services下查找netsvcs,找到很多,逐一检查,突然眼前一亮:Task Scheduler --一定是它!
  3. 转到任务计划,有一个5c1的任务计划,下次运行时间是10:01:00, 2008-05-14
  4. 不用多说,立即删除5c1计划。
    C:>schtasks /delete /tn 5c1
    警告: 确实要删除任务 "5c1" 吗 (Y/N )? y
    成功: 计划的任务 "5c1" 被成功删除。

现在的黑客,点子挺多的 PF


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/9844649/viewspace-580104/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2007-08-18

  • 博文量
    235
  • 访问量
    179703