 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| 木马病毒清除全过程文字回放 | |||||
作者:孤独剑客 文章来源:CnXHacker.Net 点击数: 更新时间:2005-11-27  |
|||||
|
写这篇文章是想让大家知道,遇到木马后应该怎么处理,我想我杀木马的经历应该会对大家有帮助。 首先运行朋友提供的木马文件(exelinks.exe),表面上没有任何反应。然后在任务管理器中查看进程,发现exelinks进程,先把这个进程杀掉。 再运行regedit.exe,竟然提示找不到这个文件!难道是exe文件被关联无法打开了?查找后发现,居然是这个文件丢了,只好运行regedt32.exe了。发现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面多了一个网络服务,启动程序名字为svchoost.exe。这个当然是木马了,将其删除。 重起系统,运行regedt32。发现注册表“run”项里又出现了木马,杀掉进程并删除木马文件。 既然系统中又出现木马进程,说明还有启动的来源,可来源是什么?对了,我不是运行了regedt32吗,这个可是exe文件啊。查看.exe内容,写的exefile,这项没问题。查看exefile内容,shell\open\command里的内容为:winnt/system32/exelinks.exe %1 %*,果然被关联了。修改为%1 %*。 另根据朋友提示,这个程序原始名字是windowssend.exe。在winnt/system32/start 目录找到了它,估计是想做个自动启动,将这个文件也删除掉。 重起系统,查看进程和注册表,一切正常了 |
|||||
| 文章录入:IceRiver 责任编辑:IceRiver | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| 瑞星07月25日发布 每日病毒及 腾讯官方版Linux QQ将于本月 无法进入安全模式 可能中招“ 瑞星公司07月15日发布 每日计 瑞星公司07月03日发布 每日计 安德夫木马IBP通过网络传播下 代理木马通过MSN传播病毒并试 近期警惕:黑客利用高考查分 "木马点击器"泛滥 点击欺诈威 安德夫木马下载恶意程序威胁 |
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
