baohe - 2006-2-3 20:36:00
1、打开注册表编辑器,删除下列注册表项:
(1)展开HKEY_CLASSES_ROOT\CLSID\
删除:{08315C1A-9BA9-4B7C-A432-26885F78DF28}
(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除:"{08315C1A-9BA9-4B7C-A432-26885F78DF28}"=""
2、重启系统。
3、显示隐藏文件,找到并删除:
C:\Program Files\Common Files\Microsoft Shared\MSInfo\Ms_Info.Obj
gysftd - 2006-2-3 20:57:00
谢谢老大 能否展示下 怎么搞定他的 我可是 注册表 启动项目 都看过了
baohe - 2006-2-3 21:00:00
| 引用: |
【gysftd的贴子】谢谢老大 能否展示下 怎么搞定他的 我可是 注册表 启动项目 都看过了
........................... |
拿到你的样本。
在我的电脑中运行。
用TPF2005 的Acyivity Monitor监控那个样本每一步的动作。
记录下来,写成帖子。
最后,贴在这里,供你参考。
这就是整个过程。
这个木马,你查看注册表中那些常规的启动项、服务项——没用。它不跟你玩儿“常规”的。它玩儿ShellExcuteHook挂接。
© 2000 - 2026 Rising Corp. Ltd.