当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 实例教学:一个木马病毒的查杀过程

杀毒防毒
大蜘蛛杀毒软件是如何扫描系统病毒
完全卸载大蜘蛛杀毒软件的操作方法
如何安装Dr.Web(大蜘蛛杀毒软件)
俄罗斯国防部颁发给Dr.Web大蜘蛛杀毒软件的证书
大蜘蛛杀毒软件隔离区路径设置技巧
大蜘蛛杀毒软件无法启动怎么办?
ESET NOD32防病毒软件取消收发邮件扫描功能
大蜘蛛杀毒软件扫描系统病毒三种方式
Dr.Web无法启动,我们应该怎么办呢?
虚拟机下恢复杀毒软件隔离区的文件
诺顿网络安全特警软件防护功能设置技巧
Kernel32.exe特洛伊木马清除一例
ESET NOD32安全套装非常强大的移动磁盘防护功能
国外媒体:Avira(小红伞)发现Win7漏洞
2009年度中国互联网电脑病毒疫情报告
金山网盾的核心技术:如何实现成功拦截挂马网页
免费PK收费:免费版360杀毒非未逊色
ESET NOD32软件防U盘病毒的设置技巧
卡巴斯基发布2010年网络威胁6项预测
德国小红伞系列防病毒软件Avira V10 Beta

杀毒防毒 中的 实例教学:一个木马病毒的查杀过程


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 58 ::
收藏到网摘: n/a

 

  写这个文章的目的,是让大家知道,遇到木马后应该怎么办。

  因为这个木马是我第一次接触,我想我杀木马的经历,应该会对大家有帮助的吧。

  至于这个木马的具体情况,来源,功能等详细内容,我没研究,反正zer说要写一篇文章出来的

  昨天晚上,zer4tul给我了个木马(exelinks.exe),让我来试试,呵呵。

  收到后,运行,没有任何反应(废话!!)

  然后,我查看进程,先把exelinks进程杀掉,然后运行regedit
  …………………………
  ……………………………………
  ……………………………………………………

  找不到这个文件!!!

  我ft

  难道是exe文件被关联无法打开了?

  查找,居然是这个文件丢了(zer4tul那里没丢,看来不具备共性)

  只好运行regedt32.exe了,呵呵

  发现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面多了一个网络服务 启动程序名字为 svchoost.exe,这个当然是他了,删除,呵呵

  这个时候,我重起系统,运行regedt32,发现run里又有了他,杀进程,删除文件

  既然又有,说明还有启动的来源,来源是什么?对了,我不是运行了regedt32吗?这个可是exe文件啊。

  查看.exe内容,写的exefile,没问题

  查看exefile内容,shell\open\command里的内容为

  winnt/system32/exelinks.exe %1 %*,呵呵,果然关联了

  修改回来,%1 %*

  另外根据zer4tul提示,这个程序原始名字是windowssend.exe

  我在winnt/system32/start 目录找到了它

  估计是想做个自动启动吧,呵呵,这个文件也删除掉

  重起系统,看进程,看注册表,一切正常了,这样,木马就杀完了