闪电风暴 - 2006-8-8 17:11:00
木马行为:
运行安装程序后,创建:
C:\windows\system\kavsvc.exe
临时文件夹里一大堆小文件.
利用net 命令与services.exe创建一个服务:
在HijackThis日志里表现为:
O23 - Service: Distributed Link Tracking Clientr (dltc1) - Unknown owner - C:\windows\system\kavsvc.exe
也创建了一个驱动:(Autoruns报)
HKLM\System\CurrentControlSet\Services
+ dltc1 c:\windows\system\kavsvc.exe
并试图访问网络.
清除方法:
结束C:\windows\system\kavsvc.exe
开始-运行输入regedit,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名[dltc1]
重启系统,清空临时文件夹,并将
C:\windows\system\kavsvc.exe
删除
gehry - 2006-8-10 13:08:00
谢谢 lz 那个安装宝里面似乎还有其他的很多病毒,瑞星一个都查不出来,我用的symatec 查出来一堆,真可怕,病毒把我的电脑都控制了,什么也不能操作,最后在安全模式下,才卸载了瑞星,然后安装了symatec。 现在我也不确定是不是还有病毒呢。
而且symatec对于 kavsvc。exe这个文件,也不报警。晕菜! 我给他们也发了病毒样本
gehry - 2006-8-10 13:09:00
楼主 真的好专业 谢谢 佩服
十剑飘香 - 2006-8-10 13:11:00
恩
简单精细,一看就懂
学习了
闪电风暴 - 2006-8-11 10:21:00
| 引用: |
【gehry的贴子】谢谢 lz 那个安装宝里面似乎还有其他的很多病毒,瑞星一个都查不出来,我用的symatec 查出来一堆,真可怕,病毒把我的电脑都控制了,什么也不能操作,最后在安全模式下,才卸载了瑞星,然后安装了symatec。 现在我也不确定是不是还有病毒呢。
而且symatec对于 kavsvc。exe这个文件,也不报警。晕菜! 我给他们也发了病毒样本
……………… |
扫HJ,AUTORUNS(注意hide microsoft services)日志上来..再多的木马,也会被发现的~~
炫Oo逍遥oO - 2006-8-11 10:46:00
学习了`
© 2000 - 2026 Rising Corp. Ltd.