baohe - 2006-4-20 17:57:00
后门Iexplores.exe(Backdoor.Win32.Tompai.b)
在专用图象工作站中清理垃圾时发现的。那个工作站根本不在网上。估计是通过U盘或软盘染上的。
拿到我的本本上看了一下。Iexplores.exe运行后:
一、添加注册表项:
1、在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支
添加:Ntcheck,指向:c:\windows\mapserver.exe
2、在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce分支
添加:Cmpnt,指向c:\windows\system\mainsv.exe
3、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices分支
添加:Shell,指向c:\windows\system\mainsv.exe。
4、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支
添加:Cmpnt,指向C:\windows\system\loadms.exe。
二、释放后门文件:
C:\windows\system\loadms.exe
C:\windows\system\mainsv.exe
C:\windows\system\loadmsnt.exe
C:\windows\mapserver.exe
yanmings - 2006-4-20 18:30:00
这些后门文件用HIJACKTHIS能扫到吗?
闪电风暴 - 2006-4-20 19:09:00
好像没有服务
轩辕小聪 - 2006-4-20 19:26:00
添加的启动项,HijackThis不知能不能扫得出来。不过如果这个后门没有隐藏相关注册表项的能力的话,用防火墙的启动选项都能看得出来。
© 2000 - 2026 Rising Corp. Ltd.