手动查杀恶意木马(dllhostex.exe)笔记

为什么要手动查杀

• 各个厂商edr或者杀毒软件基本都能检测出恶意木马，也差不多都能杀死，但是重启后又出来了，只好手动查杀

所需工具

• PCHunter、processhacker

查杀方法

1.用PChunter右键点击查看数字签名，查看没有数字签名的进程

image.png

• 如何判断是否是恶意病毒，首先判断是否是自己安装过的，不是的话定位到该文件，上传到威胁情报网站判断，比如微步在线。
  然后杀死进程，在相应目录下杀死该进程。

2.用PChunter右键点击在进程查看所有没有数字签名的模块，查看没有数字签名的模块

image.png

• 如何判断是否是恶意病毒，首先判断是否是自己安装过的，不是的话定位到该文件，上传到威胁情报网站判断，比如微步在线。
  该模块是secureupdateservice.dll。着重关注下恶意进程的父进程的没有数字签名的模块。然后定位到相应目录下，在执行步骤3后删除。

3.在processhacker中的服务定位到该服务，右键stop，然后删掉该服务模块

image.png

若需要工具，请留言。