杭州交通信息网商贷和按揭的区别:dbgview.log文件删除不掉,在C盘根目录 求救谢谢!
来源:百度文库 编辑:杭州交通信息网 时间:2024/04/29 09:37:48
里面记录的内容就是下面这些,请问是不是受到远程攻击了,我该怎么办? 谢谢高手了
开始进行注入,准备注入到winlogon进程
开始进行Hook
绑定端口31703成功
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
IP地址为6200000a
6200000A 6200000A 31703 fxqrnmhi pyppbgxg
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
到我空间下载 顽固文件清理工具 http://hi.baidu.com/finkl006
8月13日
手工清除dbgView木马
今晚刚刚手动清除掉一个很新、很隐蔽的木马。其执行体通过注入Winlogon.exe来隐藏自身,进程管理中根本看不到。
特征:
1、C盘根目录下生成dbgView.Log文件,内容为“开始进行注入,准备注入到winlogon进程”等等。
2、用端口/进程查看当前网络连接,Winlogon.exe会在一个TCP端口上监听,端口号不固定。
3、目录C:\Program Files\Internet Explorer\下可能出现uswauabp.dll文件或msgamdea.dll,或其它名称的DLL,其文件特征为:查看文件属性,版本,描述为“SrvHost DLL”。
清除方法:
这个木马是通过注入Winlogon.exe、Explorer.exe、QQ.exe三个进程来隐藏自身,当用IceSword强行卸载其模块时,系统会出现蓝屏。
所以必须从注册表入手。在注册表中查找“uswauabp.dll”(执行体的文件名视IE目录下为准),在“HKEY_CLASSES_ROOT\CLSID\{1A404685-7563-4d02-B0F6-58B308A406A9}\InProcServer32”下出现,是以默认值的形式出现“@="c:\\programfiles\\internet explorer\\uswauabp.dll"”,于是把默认值改为空白。
重启系统,Winlogon.exe的端口不再出现,C:\Program Files\Internet Explorer\目录下的uswauabp.dll可以被删除。清除完毕。
很遗憾,偶一直使用金山毒霸 2006.08.13.15 病毒库,未能查到此木马。
参考链接:
http://cache.baidu.com/c?word=dbgview%3B%2E%3Blog%2C%F6%AD%3B%B7%B2%3B%C2%DB%CC%B3&url=http%3A//bbs%2Ecrsky%2Ecom/simple/index%2Ephp%3Ft771926%2Ehtml&b=9&a=0&user=baidu
http://www.pczone.com.tw/vbb3/showthread.php?t=126372