可怕的木马,用OpenProcess打不开,请专家进来会诊

happylaodu 2002-09-18 05:33:31
日前在自己的机器上发现可疑之处,简单说明如下:
1. 在任务管理器中发现一个从来没有看到过的进程名,没有见过也就算了,只是它的名字在怪,乱七八糟,一看就知道是随机生成的名字。比如我现在看它,叫:HCyYaWm.exe。
2. 用任务管理器杀它,什么反应都没有。——一般杀系统服务进程的时候,还会出现:"无法完成操作。拒绝访问."的信息提示,这儿什么都没有。
3. 重启系统后,会发现还有怪怪的进程在,只是换了个名字。
4. 试图编程把它灭了,结果不行,在找到相应的进程号后,想用OpenProcess打开,结果返回句柄为NULL。—— 我的程序已经具有debug权限。
5. 在上述OpenProcess之后立即调用GetLasttError,它告诉我,ErrorCode = 0,说明前面这个函数调用正常返回了。
6. 我用OpenProcess去打开System进程,都可以打开。

有没有哪位大侠碰到过类似情况?这个进程为什么打不开?它可能是使用了什么技术?有没有办法可以解决?
...全文
47 5 打赏 收藏 转发到动态 举报
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
hx 2002-11-18
  • 打赏
  • 举报
回复
I LIKE 系统的东西。
harry202 2002-09-20
  • 打赏
  • 举报
回复
我碰到过,好像是GTM什么的广告弄出来的,文件在system32目录下面
大小10,000bytes,我用pskill杀掉后delete文件,如果你没有pskill.exe,可以在dos下面删除
-------------------------------
::高级编程小书童::
gxy371 2002-09-20
  • 打赏
  • 举报
回复
我碰到过,进程为什么打不开以及使用了什么技术我不请楚。不过可以把它给清除(我连续开机关机达5次,浪费了我将近一个上午。当你上网站登录或者上Q它会运行,可能是要记录你的密码,不只到我的密码给它记住没,真缺德)

记住它的文件名和在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里的位置,然后关机再启动进入安全模式把文件给删除(在WINNT/SYSTEM32/下,要全部删除,我在正常模式下通过更改文件名把它给删除以后,它会更名,他的图标全是微软的小旗子,按类型排序然后再找把他们全删除)同时要把RUN健里的启动项给删除。
dft2000 2002-09-20
  • 打赏
  • 举报
回复
关于NT下的木马怎么去除到是没有研究过!总之他的进程优先级比你的任务管理器高,所以你杀不了,有没有其他的模式?再他启动之前清除
happylaodu 2002-09-19
  • 打赏
  • 举报
回复
时代需要英雄

16,467

社区成员

发帖
与我相关
我的任务
社区描述
VC/MFC相关问题讨论
社区管理员
  • 基础类社区
  • Web++
  • encoderlee
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

        VC/MFC社区版块或许是CSDN最“古老”的版块了,记忆之中,与CSDN的年龄几乎差不多。随着时间的推移,MFC技术渐渐的偏离了开发主流,若干年之后的今天,当我们面对着微软的这个经典之笔,内心充满着敬意,那些曾经的记忆,可以说代表着二十年前曾经的辉煌……
        向经典致敬,或许是老一代程序员内心里面难以释怀的感受。互联网大行其道的今天,我们期待着MFC技术能够恢复其曾经的辉煌,或许这个期待会永远成为一种“梦想”,或许一切皆有可能……
        我们希望这个版块可以很好的适配Web时代,期待更好的互联网技术能够使得MFC技术框架得以重现活力,……

试试用AI创作助手写篇文章吧