-
-
[求助]这种现象是怎么回事?
-
发表于:
2015-6-23 16:34
5114
-
几天前,我的电脑突然有些卡,用资源监视器一看,发现explorer.exe在不断访问国外色情网站,好像是在点击广告。我拔了网线,然后开始找原因。
电脑的操作系统是Win7 home 64bit。感觉中木马之后进程多了不少,但不知道根子出在什么地方,至少explorer.exe已经不正常了。
如果插上网线,那么还会有一些名为explorer.exe, cmd.exe, notepad.exe等的进程陆续出现,这些进程同样会去连接国外网站。
看每个进程的启动命令行,好像是正常的。比如explorer.exe就是 C:\Windows\explorer.exe
找到了两台干净的Win7 Pro 64bit,比较了这三台机器上的 explorer.exe和notepad.exe等,发现内容完全一致
用杀毒软件查了一遍,没有发现病毒或木马。对正在连接国外色情网站的explorer,杀毒软件竟然说这是“可信任”的进程,实在无语。
注册表的Run/RunOnce启动项,还有服务,尽力检查了一遍,没发现有异常。
哪怕进安全模式,打开“我的电脑”也要好几秒,一插网线explorer.exe就会连国外网站。
请问可能是什么原因,会导致文件本身没被篡改的explorer.exe运行奇怪的代码?
注入的话,到底是怎么注入的?
DLL的话,哪些DLL比较可疑?另外如果我比较了正常系统和我的电脑的DLL,是不是就能发现被感染的DLL?
除了注入和DLL,还有什么其他手段?
还请大家指条明路,先谢了
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)