網(wǎng)友實(shí)踐：一個(gè)木馬病毒的查殺過(guò)程

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

寫這個(gè)文章的目的，是讓大家知道，遇到木馬后應(yīng)該怎么辦。因?yàn)檫@個(gè)木馬是我第一次接觸，我想我殺木馬的經(jīng)歷，應(yīng)該會(huì)對(duì)大家有幫助的吧。至于這個(gè)木馬的具體情況，來(lái)源，功能等詳細(xì)內(nèi)容，我沒(méi)研究，反正zer說(shuō)要寫一篇文章出來(lái)的昨天晚上，zer4tul給我了個(gè)木馬（exelinks.exe），讓我來(lái)試試，呵呵。收到后，運(yùn)行，沒(méi)有任何反應(yīng)（廢話！?。?/FONT>

然后，我查看進(jìn)程，先把exelinks進(jìn)程殺掉，然后運(yùn)行regedit
…………………………
……………………………………
……………………………………………………

找不到這個(gè)文件?。?！

我ft

難道是exe文件被關(guān)聯(lián)無(wú)法打開(kāi)了？

查找，居然是這個(gè)文件丟了（zer4tul那里沒(méi)丟，看來(lái)不具備共性）

只好運(yùn)行regedt32.exe了，呵呵

發(fā)現(xiàn)在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面多了一個(gè)網(wǎng)絡(luò)服務(wù) 啟動(dòng)程序名字為 svchoost.exe，這個(gè)當(dāng)然是他了，刪除，呵呵

這個(gè)時(shí)候，我重起系統(tǒng)，運(yùn)行regedt32，發(fā)現(xiàn)run里又有了他，殺進(jìn)程，刪除文件

既然又有，說(shuō)明還有啟動(dòng)的來(lái)源，來(lái)源是什么？對(duì)了，我不是運(yùn)行了regedt32嗎？這個(gè)可是exe文件啊。

查看.exe內(nèi)容，寫的exefile，沒(méi)問(wèn)題

查看exefile內(nèi)容，shellopencommand里的內(nèi)容為

winnt/system32/exelinks.exe %1 %*，呵呵，果然關(guān)聯(lián)了

修改回來(lái)，%1 %*

另外根據(jù)zer4tul提示，這個(gè)程序原始名字是windowssend.exe

我在winnt/system32/start 目錄找到了它

估計(jì)是想做個(gè)自動(dòng)啟動(dòng)吧，呵呵，這個(gè)文件也刪除掉

重起系統(tǒng)，看進(jìn)程，看注冊(cè)表，一切正常了，這樣，木馬就殺完了

(ccw-cnw論壇整理)