瑞星卡卡安全论坛

今天看到网友贴的几个日志中出现C:\WINDOWS\system\cycxfxtls.exe，感到有点儿新鲜。其中一个网友给出了这个木马的下载地址。
下载后，种植在系统中。一看——靠！原来是个老掉牙的马（一个很老的QQ尾巴。记得2004年俺初学手工杀毒时杀的第一个木马就是它）。原来，这个木马的主体文件名为123.exe，现在是cycxfxtls.exe。其它木马文件与原来的完全一样；注册表改动也一样。

手工查杀方法：
1、结束木马进程（图1）。
2、打开注册表编辑器。
展开HKEY_CLASSES_ROOT\txtfile\shell\open\command
将@=N0TEPAD.EXE改为@=NOTEPAD.EXE
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除"cycxfxtls.exe"="C:\\WINDOWS\\system\\cycxfxtls.exe"
3、删除木马文件（图2）


图1

附件: 1558472006718212705.jpg

图2

附件: 1558472006718212728.jpg

问问版主，这个东东“安装”后打开IE是不是会弹出广告来。

引用:

【我无邪的贴子】问问版主，这个东东“安装”后打开IE是不是会弹出广告来。 ...........................

直接访问网页www.123hao.com

嘿嘿,最近没看到猫叔帖了,顶下.

好 支持 这种毒该杀

顶.....学习..

猫叔要多发贴呀..........我们好学习......

引用:

【独孤豪侠的贴子】顶.....学习.. 猫叔要多发贴呀..........我们好学习...... ...........................

最近很少写杀毒帖子。
提不起精神来。没什么新货色。也没人给样本。

最近那个wincup.exe很凶猛呀......好像坛子上的分析不能100%杀掉哦.......

引用:

【独孤豪侠的贴子】 最近那个wincup.exe很凶猛呀......好像坛子上的分析不能100%杀掉哦....... ...........................

没人给我这个wincup.exe

哦...我帮你搞一份发给你......

123.exe，印象还是很深的

展开HKEY_CLASSES_ROOT\txtfile\shell\open\command
将@=N0TEPAD.EXE改为@=NOTEPAD.EXE?

大叔写反了吧？

学习!

引用:

【不言放弃的贴子】展开HKEY_CLASSES_ROOT\txtfile\shell\open\command 将@=N0TEPAD.EXE改为@=NOTEPAD.EXE? 大叔写反了吧？ ...........................

没写反。
N0TEPAD.EXE——N后面的字符是数字0，木马文件名；NOTEPAD.EXE——N后面的字符为字母O，记事本文件名。

最近听说流氓软件"易虎"比木马还难杀,版主可以试试啊.

http://www.52shadu.cn/soft/6/2006/200606202989.html
无忧捆绑文件探测器 V0.2 汉化绿色版,捆绑了易虎

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Protocol_Trans]
有人说导入这个注册表文件就可以删除易虎,其实这也只是删除了服务项

易虎...闪电我一会玩玩去...不过剑盟那边好象有人写了处理了..

这个处理是删除服务的

增长知识了

哇,要好好学习喔

真热闹。

还没试过 .........

今天我把好多都打印成册了,呵呵.回家要认真仔细的学学

你们怎么好像都很懂的样子啊?郁闷..有机会都教教我啊

附件: 7139502006719164415.jpg

猫叔辛苦，收藏了

现在这个病毒还流行吗?

引用:

【baohe的贴子】 没写反。 N0TEPAD.EXE——N后面的字符是数字0，木马文件名；NOTEPAD.EXE——N后面的字符为字母O，记事本文件名。 ...........................

厉害，这都能分辨出来！

看过.当时的网站好象是www.18hi.com/123.exe