W Wrong Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #1 最近发现一个驻留内存程序,用优化大师进程管理等之类的程序不能kill它,请问这是怎么做到的,应该是个病毒吧,因为它不断把自身启动项加进注册表?
A aq100 Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #2 给你一个解决方法吧,通过tlhelp32单元,你可以跟踪到各个进程调用的动态连接库/<br>寻根问底,你在把他重命名,然后删除掉注册表中的相关项/<br>你可以参考我的这篇问题回答<br>http://www.delphibbs.com/delphibbs/dispq.asp?lid=1207642<br>如果你不是中了3721的话,估计病症原理也是差不多/<br>如果确实搞不定,你就详细描述一下情况,这样大家就可以给你想想办法啦/<br>
给你一个解决方法吧,通过tlhelp32单元,你可以跟踪到各个进程调用的动态连接库/<br>寻根问底,你在把他重命名,然后删除掉注册表中的相关项/<br>你可以参考我的这篇问题回答<br>http://www.delphibbs.com/delphibbs/dispq.asp?lid=1207642<br>如果你不是中了3721的话,估计病症原理也是差不多/<br>如果确实搞不定,你就详细描述一下情况,这样大家就可以给你想想办法啦/<br>
X xusong168 Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #3 有可能是:<br>还有一个进程或线程在监视着,一旦这个进程被杀死,就再起动一个,<br>文件被删,就再生成一个。
X xusong168 Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #4 还有3721“病毒”是注入到各个进程,以线程方式执行的,所以看不到<br>一个单独的进程。
A aq100 Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #5 3721的“病毒”原理我在http://www.delphibbs.com/delphibbs/dispq.asp?lid=1207642<br>里说得很清楚啦/<br><br>to:xusong168<br> 3721他利用了钩子原理,不是你上面所说的那种方式。
3721的“病毒”原理我在http://www.delphibbs.com/delphibbs/dispq.asp?lid=1207642<br>里说得很清楚啦/<br><br>to:xusong168<br> 3721他利用了钩子原理,不是你上面所说的那种方式。
W wyb_star Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #7 3721算是百分之百的纯病毒,国家还让他合法地存在,真是没有天理了
X xusong168 Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #8 3721是用钩子注入到其他进程的,最主要的是explorer进程,<br>这时候你用注册表和删除文件和杀死进程的办法,<br>对它来讲,都是可以应付的。
A aq100 Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #9 xusong168, 时间:2002-9-5 12:28:00, ID:1307549 <br>还有3721“病毒”是注入到各个进程,以线程方式执行的,所以看不到<br>一个单独的进程。<br><br>在进程中你可以看到一个rundll.exe的程序,这个程序就是用来执行3721 的DLL的/<br>在他的钩子里,他只是注入到了explorer ,不是各个进程,explorer才是他感兴趣的/<br>我说得对吧/<br>
xusong168, 时间:2002-9-5 12:28:00, ID:1307549 <br>还有3721“病毒”是注入到各个进程,以线程方式执行的,所以看不到<br>一个单独的进程。<br><br>在进程中你可以看到一个rundll.exe的程序,这个程序就是用来执行3721 的DLL的/<br>在他的钩子里,他只是注入到了explorer ,不是各个进程,explorer才是他感兴趣的/<br>我说得对吧/<br>
X xusong168 Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #10 to aq100:还是不矛盾,rundll是“3721”运行的起点,如果它愿意的话,可以在<br>explorer的生存期间,监视注册表,把rundll xxxx.dll这个键值一直往里加。<br>其他的进程也会被注入的,我用的www.sysinternals.com上的procexp看的。
to aq100:还是不矛盾,rundll是“3721”运行的起点,如果它愿意的话,可以在<br>explorer的生存期间,监视注册表,把rundll xxxx.dll这个键值一直往里加。<br>其他的进程也会被注入的,我用的www.sysinternals.com上的procexp看的。
A aq100 Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-05 #11 I服了U<br> 大家可能偏题啦,还是让Wrong来说说具体的症状吧
W Wrong Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-06 #12 我非常抱歉我没有说清楚问题,我确实是中了3721病毒,不过我不是想知道怎样清除它,<br>我已经把它清除了。我是想知道怎样让它驻内在中而不能被一些进程中断程序kill掉,谢谢!
C CrendKing Unregistered / Unconfirmed GUEST, unregistred user! 2002-09-07 #13 如果是在 Win2000 中,则服务就无法关闭,不知在 Win98 中 VXD 能不能实现。
L littlefish Unregistered / Unconfirmed GUEST, unregistred user! 2003-05-07 #14 又绕回到老问题上了。<br>98下,可以完全隐藏进程。但要想不被杀掉大概只有vxd了。<br>NT下连隐藏都是不可能的。目前有两种方法。<br>一、就是大家所说的线程注射,也就是注入到一个系统进程中去。<br>二、就是做两个相互保护的进程,相互监视,同时监视注册表启动项。但是这个方法似乎在<br> 安全模式下无效,因为安全模式下系统不会启动注册表启动项中的进程。
又绕回到老问题上了。<br>98下,可以完全隐藏进程。但要想不被杀掉大概只有vxd了。<br>NT下连隐藏都是不可能的。目前有两种方法。<br>一、就是大家所说的线程注射,也就是注入到一个系统进程中去。<br>二、就是做两个相互保护的进程,相互监视,同时监视注册表启动项。但是这个方法似乎在<br> 安全模式下无效,因为安全模式下系统不会启动注册表启动项中的进程。