rundll32.exe c:\windows\system32\rundll32.3x3 winoav3.dll,runagent32
rundll32.exe c:\windows\system32\rundll32.3x3 winoauv3.dll,runagentu32
以上rundll32.exe调用winoav3.dll和winoauv3.dll,如手动结束进程后会自动“复活”,可能被360、NOD32怀疑为木马程序。但据证实,winoav3.dll和winoauv3.dll应为IP-guard的文件。IP-guard是什么,以下是华军软件园对其的描述(我只是转抄的,不是打广告):
IP-guard是在企业网络内监视和记录各台计算机的全面使用情况的工具。它具有强大的屏幕快照、网络管理、实时跟踪、运行统计、历史归档,设备管理及控制等功能。IP-guard 根据需要自动截取工作站的屏幕快照、应用程序运行和浏览互联网的情况,记录用户在计算机上的各项操作并能对指定的操作进行限制。这样,IP-guard 可以让您随时了解您公司的计算机用户的资源利用情况,从而保证企业的信息安全,提高生产效率。
可见,IP-guard是一个面向企业、单位的网络安全监控软件,据说可以限制网速,所以winoav3.dll和winoauv3.dll不是木马。与IP-guard相关的文件还有以下一些(不限于下面所列出的,可通过检查它们文件属性中的厂商信息来辨别):
C:\WINDOWS\system32\msowcnv3.dll
C:\WINDOWS\system32\winhadnt.dll
C:\Program Files\Common Files\System\winrdgv3.exe
C:\WINDOWS\system32\drivers\tfsfltdrv.sys
C:\WINDOWS\System32\Drivers\tpacket.sys
C:\WINDOWS\system32\drivers\TSysDrv.sys
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/946.html
