当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 实例教学:一个木马病毒的查杀过程

杀毒防毒
几个小绝招增强系统对木马和病毒的防范
全面解析木马后门程序运行原理 把它扼杀在摇篮里
修改注册表清除黑客程序保证计算机安全
关闭和限制电脑不常用端口确保安全
与脚本病毒做斗争 几种常见的杀毒方法
经验共享---如何防御网络游戏外挂木马
系统安全之教你手工清除灰鸽子Vip2005
识别文本文件型邮件附件的欺骗方法
安全防护我先行 不准病毒自行启动
彻底清除无法显示隐藏文件病毒
使用杀毒软件的十大误区
李鬼?李逵? 深入了解灰鸽子2007真实功能
揭示灰鸽子七宗罪 不可不知的病毒解决方案
双击无法打开驱动器的杀毒方法
最新木马专杀下载 可杀灭十万种木马
看看你的系统有没有被流氓入侵
小心藏在情书邮件里的病毒盗取你的QQ账号
“灰鸽子”从防到杀全过程
“灰鸽子”凶猛:不容忽视的潜在威胁
彻底清除无法显示隐藏文件的病毒

杀毒防毒 中的 实例教学:一个木马病毒的查杀过程


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 55 ::
收藏到网摘: n/a

 

  写这个文章的目的,是让大家知道,遇到木马后应该怎么办。

  因为这个木马是我第一次接触,我想我杀木马的经历,应该会对大家有帮助的吧。

  至于这个木马的具体情况,来源,功能等详细内容,我没研究,反正zer说要写一篇文章出来的

  昨天晚上,zer4tul给我了个木马(exelinks.exe),让我来试试,呵呵。

  收到后,运行,没有任何反应(废话!!)

  然后,我查看进程,先把exelinks进程杀掉,然后运行regedit
  …………………………
  ……………………………………
  ……………………………………………………

  找不到这个文件!!!

  我ft

  难道是exe文件被关联无法打开了?

  查找,居然是这个文件丢了(zer4tul那里没丢,看来不具备共性)

  只好运行regedt32.exe了,呵呵

  发现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面多了一个网络服务 启动程序名字为 svchoost.exe,这个当然是他了,删除,呵呵

  这个时候,我重起系统,运行regedt32,发现run里又有了他,杀进程,删除文件

  既然又有,说明还有启动的来源,来源是什么?对了,我不是运行了regedt32吗?这个可是exe文件啊。

  查看.exe内容,写的exefile,没问题

  查看exefile内容,shell\open\command里的内容为

  winnt/system32/exelinks.exe %1 %*,呵呵,果然关联了

  修改回来,%1 %*

  另外根据zer4tul提示,这个程序原始名字是windowssend.exe

  我在winnt/system32/start 目录找到了它

  估计是想做个自动启动吧,呵呵,这个文件也删除掉

  重起系统,看进程,看注册表,一切正常了,这样,木马就杀完了