cpu使用率100% win2000 server - 資安
By Odelette
at 2009-02-22T22:45
at 2009-02-22T22:45
Table of Contents
※ 引述《derow (狄洛)》之銘言:
: cpu使用率100%的情形已經三天
: 工作管理員裡顯示eventlog.exe一直佔用資源
: 電腦的動作每執行一個動作都要很久
: Mcfee顯示system32下的regwizb.dll中了木馬程式
: 可是不管是防毒軟體或是手動都無法刪除
: 安全模式下也無法刪除
: 上網找過資料 只有regwiz跟regwizc的資料
: 都沒有與regwizb的相關資料
: 之前也有過rundll32偽裝,但這個檔已經刪除
: 我很確定是中了木馬程式
: 可是目前無法找出相關資料來解決這個問題
: 有沒有高手知道該如何解決?
你先用 Process Explorer 抓出哪隻 trj 再吃資源
然後用 Process Explorer 把 process kill
木馬一定又會再長出來 !! 把木馬路徑記起來...
再用 Autoruns 把開機啟動的怪程式 off 或 del
有些會藏在服務裡面偽裝跟正常服務一樣名子,
也是用 autoruns 去把它 kill
重新開機後進安全模式把剛剛用 Process Explorer
看到的路徑刪除。
唯一一種木馬無法看到 rootkit ..
這只接找網路掃 rootkit 的掃,只是種這類型的
建議砍掉重練了,很難抓...
--
( ˊ _ ˋ)y▂ξ Just felling
http://www.2be.com.tw
--
: cpu使用率100%的情形已經三天
: 工作管理員裡顯示eventlog.exe一直佔用資源
: 電腦的動作每執行一個動作都要很久
: Mcfee顯示system32下的regwizb.dll中了木馬程式
: 可是不管是防毒軟體或是手動都無法刪除
: 安全模式下也無法刪除
: 上網找過資料 只有regwiz跟regwizc的資料
: 都沒有與regwizb的相關資料
: 之前也有過rundll32偽裝,但這個檔已經刪除
: 我很確定是中了木馬程式
: 可是目前無法找出相關資料來解決這個問題
: 有沒有高手知道該如何解決?
你先用 Process Explorer 抓出哪隻 trj 再吃資源
然後用 Process Explorer 把 process kill
木馬一定又會再長出來 !! 把木馬路徑記起來...
再用 Autoruns 把開機啟動的怪程式 off 或 del
有些會藏在服務裡面偽裝跟正常服務一樣名子,
也是用 autoruns 去把它 kill
重新開機後進安全模式把剛剛用 Process Explorer
看到的路徑刪除。
唯一一種木馬無法看到 rootkit ..
這只接找網路掃 rootkit 的掃,只是種這類型的
建議砍掉重練了,很難抓...
--
( ˊ _ ˋ)y▂ξ Just felling
http://www.2be.com.tw
--
Tags:
資安
All Comments
Related Posts
硬體防火牆的建議?
By Hazel
at 2009-02-20T17:54
at 2009-02-20T17:54
cpu使用率100% win2000 server
By Oscar
at 2009-02-20T13:46
at 2009-02-20T13:46
snort問題
By Jacky
at 2009-02-19T15:26
at 2009-02-19T15:26
誘捕系統
By James
at 2009-02-19T14:29
at 2009-02-19T14:29
誘捕系統
By Edward Lewis
at 2009-02-18T23:50
at 2009-02-18T23:50