神秘进程,认识的快进来看看!
发布时间:2010-05-01 |
1楼: 我刚开机-WIN2000 PRO 最新RAV2005
用PSLIST结果如下:
Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time
Idle 0 0 1 0 0 0:04:09.969 0:04:59.290
System 8 8 39 207 24 0:00:05.467 0:04:59.290
smss 156 11 6 33 1092 0:00:00.410 0:04:59.290
csrss 188 13 10 406 1440 0:00:01.852 0:04:51.899
winlogon 208 13 18 413 5964 0:00:00.751 0:04:48.635
services 236 9 43 741 5640 0:00:02.773 0:04:47.413
lsass 248 9 15 275 2332 0:00:00.470 0:04:47.393
Ravmond 400 8 16 198 13548 0:00:43.813 0:04:44.569
RavStub 432 8 5 63 1340 0:00:00.170 0:04:44.128
svchost 468 8 9 243 1456 0:00:00.350 0:04:43.898
spoolsv 516 8 12 143 2668 0:00:00.170 0:04:40.833
CDAC11BA 548 8 4 35 272 0:00:00.010 0:04:40.693
svchost 572 8 34 488 5536 0:00:00.891 0:04:40.673
ibguard 592 8 4 41 496 0:00:00.030 0:04:40.403
sqlservr 624 8 25 249 11720 0:00:00.100 0:04:40.002
CCENTER 728 8 5 41 296 0:00:00.010 0:04:34.684
vmnat 860 8 4 83 972 0:00:00.040 0:04:32.952
WinMgmt 876 8 5 117 928 0:00:06.228 0:04:32.511
mspmspsv 924 8 2 53 520 0:00:00.030 0:04:30.298
vmnetdhcp 944 8 2 36 488 0:00:00.030 0:04:29.948
Explorer 1232 8 13 289 6724 0:00:13.048 0:04:13.334
ibserver 768 8 6 100 1304 0:00:00.050 0:04:11.932
Mixer 436 8 3 115 1496 0:00:00.320 0:03:58.452
realsched 1168 8 2 28 704 0:00:00.070 0:03:54.747
daemon 1188 8 2 69 2704 0:00:00.100 0:03:52.674 字串9
rundll32 1144 8 6 166 2936 0:00:00.210 0:03:52.394
assistse 1132 8 2 38 1068 0:00:00.070 0:03:50.801
RUNDLL32 1108 8 1 53 1984 0:00:00.090 0:03:50.201
msnmsgr 648 8 17 553 15712 0:00:02.383 0:03:48.969
cmd 1380 8 1 25 348 0:00:00.040 0:03:16.963
conime 1440 8 1 25 852 0:00:00.040 0:03:05.646
mdm 1528 8 4 94 1040 0:00:00.290 0:02:43.835
taskmgr 1588 13 3 41 1096 0:00:00.610 0:02:24.287
pslist 308 13 2 93 720 0:00:00.080 0:00:00.140
用FPort结果如下:
Pid Process Port Proto Path
468 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
8 System -> 1025 TCP
820 iexplore -> 1030 TCP C:\Program Files\Internet Explorer\iexplore
.exe
648 msnmsgr -> 1033 TCP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1047 TCP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1049 TCP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1051 TCP C:\Program Files\MSN Messenger\msnmsgr.exe
624 sqlservr -> 1433 TCP C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.ex
e
768 ibserver -> 3050 TCP C:\Program Files\Borland\InterBase\bin\ibse
rver.exe
648 msnmsgr -> 9 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
248 lsass -> 500 UDP C:\WINNT\system32\lsass.exe
648 msnmsgr -> 1034 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1043 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1045 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
1144 rundll32 -> 1055 UDP C:\WINNT\system32\rundll32.exe
624 sqlservr -> 1434 UDP C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.ex
e
648 msnmsgr -> 11134 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
//比较一下发现了什么.....竟多出了一个iexplore.exe神秘的客人(杀毒没反应,进程列表中无,注册表启动项中也无)。。请教我怎么样处理它,别叫我重装系统啊
用PSLIST结果如下:
Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time
Idle 0 0 1 0 0 0:04:09.969 0:04:59.290
System 8 8 39 207 24 0:00:05.467 0:04:59.290
smss 156 11 6 33 1092 0:00:00.410 0:04:59.290
csrss 188 13 10 406 1440 0:00:01.852 0:04:51.899
winlogon 208 13 18 413 5964 0:00:00.751 0:04:48.635
services 236 9 43 741 5640 0:00:02.773 0:04:47.413
lsass 248 9 15 275 2332 0:00:00.470 0:04:47.393
Ravmond 400 8 16 198 13548 0:00:43.813 0:04:44.569
RavStub 432 8 5 63 1340 0:00:00.170 0:04:44.128
svchost 468 8 9 243 1456 0:00:00.350 0:04:43.898
spoolsv 516 8 12 143 2668 0:00:00.170 0:04:40.833
CDAC11BA 548 8 4 35 272 0:00:00.010 0:04:40.693
字串3
svchost 572 8 34 488 5536 0:00:00.891 0:04:40.673
ibguard 592 8 4 41 496 0:00:00.030 0:04:40.403
sqlservr 624 8 25 249 11720 0:00:00.100 0:04:40.002
CCENTER 728 8 5 41 296 0:00:00.010 0:04:34.684
vmnat 860 8 4 83 972 0:00:00.040 0:04:32.952
WinMgmt 876 8 5 117 928 0:00:06.228 0:04:32.511
mspmspsv 924 8 2 53 520 0:00:00.030 0:04:30.298
vmnetdhcp 944 8 2 36 488 0:00:00.030 0:04:29.948
Explorer 1232 8 13 289 6724 0:00:13.048 0:04:13.334
ibserver 768 8 6 100 1304 0:00:00.050 0:04:11.932
Mixer 436 8 3 115 1496 0:00:00.320 0:03:58.452
realsched 1168 8 2 28 704 0:00:00.070 0:03:54.747
daemon 1188 8 2 69 2704 0:00:00.100 0:03:52.674 字串9
rundll32 1144 8 6 166 2936 0:00:00.210 0:03:52.394
assistse 1132 8 2 38 1068 0:00:00.070 0:03:50.801
RUNDLL32 1108 8 1 53 1984 0:00:00.090 0:03:50.201
msnmsgr 648 8 17 553 15712 0:00:02.383 0:03:48.969
cmd 1380 8 1 25 348 0:00:00.040 0:03:16.963
conime 1440 8 1 25 852 0:00:00.040 0:03:05.646
mdm 1528 8 4 94 1040 0:00:00.290 0:02:43.835
taskmgr 1588 13 3 41 1096 0:00:00.610 0:02:24.287
pslist 308 13 2 93 720 0:00:00.080 0:00:00.140
用FPort结果如下:
Pid Process Port Proto Path
468 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
8 System -> 1025 TCP
820 iexplore -> 1030 TCP C:\Program Files\Internet Explorer\iexplore
字串1
.exe
648 msnmsgr -> 1033 TCP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1047 TCP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1049 TCP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1051 TCP C:\Program Files\MSN Messenger\msnmsgr.exe
624 sqlservr -> 1433 TCP C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.ex
e
768 ibserver -> 3050 TCP C:\Program Files\Borland\InterBase\bin\ibse
rver.exe
648 msnmsgr -> 9 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
248 lsass -> 500 UDP C:\WINNT\system32\lsass.exe
648 msnmsgr -> 1034 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1043 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
648 msnmsgr -> 1045 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
字串7
1144 rundll32 -> 1055 UDP C:\WINNT\system32\rundll32.exe
624 sqlservr -> 1434 UDP C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.ex
e
648 msnmsgr -> 11134 UDP C:\Program Files\MSN Messenger\msnmsgr.exe
//比较一下发现了什么.....竟多出了一个iexplore.exe神秘的客人(杀毒没反应,进程列表中无,注册表启动项中也无)。。请教我怎么样处理它,别叫我重装系统啊
2楼: net start server 看一下。看看有没有这个程序的服务。
ROOTKIT工具可以达到这样的效果。
GOOGLE上搜索ROOTKIT的清除方法。
也可以进DOS下删除。
3楼: 靠,那是Internet Explore,你IE关了看看还有没有。
4楼: explore.exe//资源管理器进程
iexplore.exe//IE进程
.........................
怎么多了?! :)
5楼: 楼上两位兄没看仔细。
我的IE没有打开。。。不信你看Pslist的结果啊!
并且此时任务管理器中没有iexplore的进程(可见是个隐藏的进程)
如果你一开机并没有开ie时发现这个进程(原本应正常的程序)现在竟然隐藏了,你能不觉得怪吗???
Fport 中能显示
余远源兄,我不要删除我的IE啊!它是正常程序啊!
6楼: 呵呵,我的更奇怪呢.ie开了用FPort还查不到呢~!如sqlserver 企业管理器
7楼: 我是说如果有ROOTKIT的话。删ROOTKIT的办法不是说删IE。 字串9
有的木马是这样做的。启时EXE运行IE进程再把他的远线程插入到这个IE进程,木马EXE退出,
IE进程运行DLL的代码,这样就达到了突破防火的目的。这样的话关了进程就关了木马,木马为了防止被关闭。
木马DLL HOOK 了NTQuerySystemInformation这个FUNCTION。所以你就在任务管理员看不到进程。但Fport或别的工具就可以。
8楼: 多谢提醒,我用如下的方法解决了问题
更改Iexplore.exe名字,重启
这下它显了原形,进程中现现一个0530.exe的进程
找到它在c:\winnt\system32\0530.exe下,删了它, OK
经查0530用petite加壳 ,用脱壳软件脱不出来 RINSING查不到
9楼: 接受答案了.
10楼: 神秘个P