sysnap
新手上路
积分 4
发帖 4
注册 2007-10-16
|
#1 (第一次发帖)感染userinit.exe的木马
开机发现userinit.exe停留了很久才退出,感觉不对劲,看了一下微点的"程序生成日志",发现userinit.exe进程创建俩个文件,分别是C:\WINDOWS\SVCHOST和C:\WINDOWS\UAY.SYS看到SVCHOST.EXE在WINDOWS目录下就知不对.赶紧搜索这俩个文件,却找不到,以为他HOOK了什么API,用一写工具却没发现.分析了一下USERINIT.EXE发现有"lisent on port 9929"字眼,应该是木马吧,关于这个木马是干什么的,运行机制是什么,我还没弄明白.还是清除再说,到别的地方COPY一个USERINIT.EXE替换原来的就可以,下次开机再看微点程序生成日志,一切正常,看来微点这个功能不错
注:正常的userinit.exe只有27K,感染后是127K
百度搜索好像没有关于这个木马的信息,晕
| |
※ ※ ※ 本文纯属【sysnap】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
