笔记本电脑中“特洛伊”木马程序的清除过程
最近有一次调试网络时用一台笔记本,发现好像有木马,笔记本是公用的,操作系统是WIN XP,安装完系统后还未安装防火墙、杀毒一类的软件,中木马的可能性非常大,下面把抓木马的经过写出来,为了文章的可读性,先把过程写下来,最后附上本文所用软件的下载地及使用说明。1、调试网络需要看连接,习惯地打开TCPView,看到如图1红框所示,有两个进程explorer.exe和rundll32.exe非常可疑,很多木马的进程都是这样的。
5、在命令窗口接着用tasklist /svc命令查看fxssvc.exe对应的服务,如下显示fxssvc.exe是Fax(传真)服务程序。
fxssvc.exe 584 Fax''
接着输入net stop fax停止fax服务。如下显示服务停止。
Fax 服务正在停止.
Fax 服务已成功停止。
停止fax服务后,把该服务改为手工启动,重启计算机后TCPview显示没有explorer.exe进程处于Listing(侦听)状态。
看来是虚惊一场,虽然没有抓住"马",但我想抓马的过程还是有点借鉴作用的,所以写出此文,希望对你捉马有些帮助,顺便提一句,explorer是系统的正常进程,但很多木马也起成相同或相似的名字,系统启动后该进程就存在但一般不做网络连接,在TCPView中看到该进程处于LISTENING (侦听)和ESTABLISHED(连接)状态时一定要格外注意。
2)procexp.exe
我写此文用的是procexp.exe 5.0,从上面的地址下载后发现版本已是8.4了,而且功能增加了不少,特别是增加了TCP/IP的连接功能,也就是说有了TCPView的功能,非常棒,使用方法很简单,快点下一个用用吧,肯定不会失望的。
3)tasklist命令
该命令是windows系统自带的命令,显示本地或远程机器上当前运行的进程列表,帮助里写的非常清楚,自己看吧。
4)net stop命令
该命令是windows系统自带的命令,作用是停止某个服务,用sc命令中的sc stop fax也行。 见识见识 ...........
页:
[1]