主 题: 可怕的木马,用OpenProcess打不开,请专家进来会诊
作 者: happylaodu (青菜豆腐)
等 级:
信 誉 值: 100
所属论坛: Visual C++
问题点数: 150
回复次数: 4
发表时间: 2002-9-18 17:33:31
日前在自己的机器上发现可疑之处,简单说明如下:
1. 在任务管理器中发现一个从来没有看到过的进程名,没有见过也就算了,只是它的名字在怪,乱七八糟,一看就知道是随机生成的名字。比如我现在看它,叫:HCyYaWm.exe。
2. 用任务管理器杀它,什么反应都没有。——一般杀系统服务进程的时候,还会出现:"无法完成操作。拒绝访问."的信息提示,这儿什么都没有。
3. 重启系统后,会发现还有怪怪的进程在,只是换了个名字。
4. 试图编程把它灭了,结果不行,在找到相应的进程号后,想用OpenProcess打开,结果返回句柄为NULL。—— 我的程序已经具有debug权限。
5. 在上述OpenProcess之后立即调用GetLasttError,它告诉我,ErrorCode = 0,说明前面这个函数调用正常返回了。
6. 我用OpenProcess去打开System进程,都可以打开。
有没有哪位大侠碰到过类似情况?这个进程为什么打不开?它可能是使用了什么技术?有没有办法可以解决?
清处方法如下,不只有没有更好的方法。
我碰到过,进程为什么打不开以及使用了什么技术我不请楚。不过可以把它给清除(我连续开机关机达5次,浪费了我将近一个上午。当你上网站登录或者上Q它会运行,可能是要记录你的密码,不只到我的密码给它记住没,真缺德)
记住它的文件名和在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里的位置,然后关机再启动进入安全模式把文件给删除(在WINNT/SYSTEM32/下,要全部删除,我在正常模式下通过更改文件名把它给删除以后,它会更名,他的图标全是微软的小旗子,按类型排序然后再找把他们全删除)同时要把RUN健里的启动项给删除。
11 个解决方案
#1
Thanks
#2
应该是是3721网络实名,我也遇到过,删除网络实名就没有怪怪的进程名了
#3
呵呵,木马这种东东防不胜防啊!
除非你真的非常遵守一个规则,不过也会很没趣就是了
除非你真的非常遵守一个规则,不过也会很没趣就是了
#4
删除3721网络实名,不知为什么,3721做程序怎么这样,偷偷某某的调用rundll32.exe,一个公司做的程序象小偷一样,为了大家的安全,建议以后不要使用3721网络实名
#5
写个杀毒工具,专杀3721这种病毒。
#6
3721是最恶心的广告!
#7
这不是什么木马,是3721干出来的东西。
直接kill process不掉的东西请用debug process,可以灭掉。
直接kill process不掉的东西请用debug process,可以灭掉。
#8
我最讨厌3721了~
见到就卸载~
:(
见到就卸载~
:(
#9
到3721网站上去卸载。
#10
3721真TMD无耻!那些网站还整天跟着它搞到我的IE时不时弹出个提示让我装,我才不干!
#11
老大,这是3721的动动,上它的网,卸载就好了!!
唉!!!!!!! 感觉3721这个公司。。。。。。。。。。。
唉!!!!!!! 感觉3721这个公司。。。。。。。。。。。
#1
Thanks
#2
应该是是3721网络实名,我也遇到过,删除网络实名就没有怪怪的进程名了
#3
呵呵,木马这种东东防不胜防啊!
除非你真的非常遵守一个规则,不过也会很没趣就是了
除非你真的非常遵守一个规则,不过也会很没趣就是了
#4
删除3721网络实名,不知为什么,3721做程序怎么这样,偷偷某某的调用rundll32.exe,一个公司做的程序象小偷一样,为了大家的安全,建议以后不要使用3721网络实名
#5
写个杀毒工具,专杀3721这种病毒。
#6
3721是最恶心的广告!
#7
这不是什么木马,是3721干出来的东西。
直接kill process不掉的东西请用debug process,可以灭掉。
直接kill process不掉的东西请用debug process,可以灭掉。
#8
我最讨厌3721了~
见到就卸载~
:(
见到就卸载~
:(
#9
到3721网站上去卸载。
#10
3721真TMD无耻!那些网站还整天跟着它搞到我的IE时不时弹出个提示让我装,我才不干!
#11
老大,这是3721的动动,上它的网,卸载就好了!!
唉!!!!!!! 感觉3721这个公司。。。。。。。。。。。
唉!!!!!!! 感觉3721这个公司。。。。。。。。。。。