荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: aaaaz (零点服务社 打造年度顾客最满意服务商), 信区: Virus
标  题: Re: 可以肯定中了木马。。。谁来帮我分析一下
发信站: 荔园晨风BBS站 (Fri Aug  8 19:50:47 2003), 站内信件


在任务管理器里停了explorea.exe,把 C:\WINXP\System32\EXPLOREA.EXE删了。。
打开regedit
看HKCR\exefile\shell\open\command 的键值是不是"%1" %*  (双引号必须输入)
如果键值是 .exe "%1 %* 结尾的,则表示所有exe文件关联已经改了,只要你打开
exe文件会重新打开木马程序的,把键值改回来就成。
之后查看那个exe文件的路径在哪里,找出来痛杀之。

如果exe文件的关联没有改变,则查看
HKCR\txtfile\shell\open\command 的键值是不是"%systemroot%"\sysytem32\
notepad.exe %1"
win2k系统可能显示为"c:\system32\notepad.exe %1"
如果不是显示为上面的东东,而是一个.exe文件,则
看那个exe文件的路径在哪里,找出来痛杀之。之后把键值改回来。

还有现在新的木马一般都采用了线程方式插入dll文件的隐藏方法。这个如果要手工
清除难度比较大,建议你把病毒库更新到最新,然后进入安全模式进行查杀。。。

: C:\WINXP\System32\EXPLOREA.EXE
: D:\DownLoad\UttURsZq.EXE
: F:\System Volume Information\jsIHsauZ.EXE
: E:\木马克星iparmor\GPFLSlFR.EXE
: D:\Recycled\acOZ.EXE
: C:\KAV2003\ZMMME.EXE
: E:\Recycled\hdTBoh.EXE
: F:\Recycled\ZQZOebl.EXE
: E:\kid\NMNJAM.EXE
: explorea。exe每次启动就自动载入系统。
: 对方可以关闭我的天网放火墙 和 金山毒霸2k3
: 装了11。3上面2个木马检测软件都没有用。
: 现在不知道怎么办了。。。。。
: 想换一个nav的杀毒软件,请大家推荐一个能升级的版本。


--
 欢迎光临rmvb aaaaz站. rmvb:rmvb@192.168.46.177:177
●_● 零点服务社 ●_●OICQ 191950 TEl 26538385
--------              零点服务社
妈 咪 话|
一切创造|   * ctrl+a *[1;看我的*[个人说明档.*[1;看有什么可以帮到你的罗..
靠 自 己|偶整天在网络安全和病毒版打滚的.有空常来聊.潜水ing苦练技术ing


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店