|
阅读:2510回复:2
求助: Windows NtConnectPort 被Hook
今天explorer.exe突然出现两次非法退出, 查看其load 的dll时发现一个中文描述是的数据库维护什么的(具体忘记了)dll, 声明是微软的, 但微软模块一般是英文的, 感觉肯定是木马之类, 但等 explorer.exe 重启后, 发现该库居然不再插进去, 硬盘上也找不到了, 但随后发现 SSDT 中 NtConnectPort 被Hook, 居然指向了 hal.dll 中的一个地址, 现在不知道该怎么办了, 就是怕系统里什么地方保存着恶意代码。
注: 应该不是 恶意的hal.dll 自己修改的SSDT, 因为我在安全模式下观察SSDT是没有被修改的, 但只要在一般模式下, 就被Hook了, 但找不到是在哪里干的, 有没有人能够帮忙分析一下, 计算机上有银行帐号等机密信息, 不敢大意, 谢谢。 |
|
|
沙发#
发布于:2007-09-10 01:48
没样本?
|
|
|
驱动小牛
|
板凳#
发布于:2007-09-11 14:20
该去杀毒论坛求助.
|